Definiciones y Exclusiones
Datos de carácter personal: Cualquier información
concerniente a personas físicas identificadas o identificables..
Fichero: Todo conjunto organizado de datos de carácter personal,
cualquiera que fuere la forma o modalidad de su creación,
almacenamiento, organización y acceso.
Tratamiento de datos: Operaciones y procedimientos técnicos
de carácter automatizado o no, que permitan la recogida,
grabación, conservación, elaboración, modificación,
bloqueo y cancelación, así como las cesiones de datos
que resulten de comunicaciones, consultas, interconexiones y transferencias.
La Ley se aplica tanto a ficheros públicos como a privados.
Las excepciones a la Ley son la siguientes:
a) Ficheros mantenidos por personas físicas en el ejercicio
de actividades exclusivamente personales o domésticas.
b) Ficheros sometidos a la normativa sobre protección de
materias clasificadas.
c) Ficheros establecidos para la investigación del terrorismo
y de formas graves de delincuencia organizada. No obstante, en
estos supuestos el responsable del fichero comunicará previamente
la existencia del mismo, sus características generales
y su finalidad a la Agencia de Protección de Datos
Hemos dividido en 3 los requerimientos que la legislación
actual requiere de su cumplimiento a las empresas:
1.- Inscripción en la Agencia de Protección de
Datos de todos los ficheros de carácter personal existentes
2.- Establecimiento de una política de protección
a los ficheros previamente inscritos según el nivel requerido
en el Reglamento.
3.- Establecimiento de una política de Protección
de Datos, según la Ley Orgánica de Protección
de Datos.
El punto primero es básico. De hecho, no tiene mucho
sentido establecer las Medidas de Seguridad que pide el Reglamento
si no hemos inscrito previamente nuestros ficheros en la Agencia.
Por tanto, la primera tarea es proceder a dicha inscripción,
y para ellos hemos elaborado un apartado donde se explicará
este punto ampliamente.
Una vez inscritos, debemos de establecer las Medidas de Seguridad
que establece el Reglamento. Para ello, la identificación
del nivel de seguridad exigido es determinante, ya que dependiendo
de uno o de otro, las medidas son diferentes, aunque siempre acumulativas
unas de otras. Los ficheros de nivel básico contienen datos
que inciden poco en la esfera del individuo: nombre, apellidos,
dirección, número de teléfono o dirección
de correo electrónico. Los datos de nivel medio son el
siguiente escalón: datos de hacienda pública o infracciones
administrativas o penales. Es difícil que usted tenga datos
de nivel medio, por cuanto es la Administración la principal
receptora de los mismos. Los de nivel alto son los datos para
los cuales el legislador ha querido un nivel mayor de protección,
no en vano inciden sobre la ideología, carácter
o estado de salud del individuo, y para ellos se ha querido un
nivel de seguridad bastante amplio. Y la posibilidad de que usted
tenga datos de este nivel no es en absoluto desdeñable.
Y si no, preste atención al siguiente párrafo.
Creemos que son necesarias varias apreciaciones llegados este
punto. La primera, que sólo deben preocuparnos datos "personales",
esto es, todos aquellos datos de empresas -facturas, clientes...-
permanecen, a priori, fuera del radio de acción. Lo que
ocurre en muchas ocasiones es que, al referirnos a empresas, muchas
de ellas tienen un nombre societario que hacen referencia al administrador
o dueño de la misma, lo que lo convierte directamente en
un dato de carácter personal, y por ende, en destinatario
de todas las medidas de protección. Además, si en
un fichero de datos compuestos por nombres de empresas o datos
de carácter abstracto o no personal, si en dicho fichero
existe un solo dato de carácter personal de nivel alto
-por ejemplo-, el fichero entero es de nivel alto, no importando
que el resto de datos no sean de carácter personal o tengan
un nivel inferior. Además, y aunque la Ley no hace distinción
entre datos automatizados y datos no automatizados, a efectos
del Reglamento nos interesan los datos automatizados, y sólo
esos. De otra forma, datos que se contengan en facturas o fichas,
que no esten automatizados -esto es, en soporte digital-informático-
no nos interesan. Aunque existe un plazo (hasta el 2007) por el
cual, a partir de dicha fecha, también los datos no automatizados
deberán de ser destinatarios de las medidas de seguridad
que se regulen. Debe saber que cuando nos referimos a alguna medida
que haga referencia a la Ley, no se establece diferencia alguna
entre dato automatizado y dato no automatizado. Mientras que las
medidas establecidas en el Reglamento, sólo atañen,
de momento, a los datos automatizados. Por último, la Agencia
de Protección de Datos ha ido resolviendo algunas dudas
al respecto tales como:
-Respecto a los ficheros que contienen las nóminas de
los empleados, si estos tienen una casilla que especifique un
determinado grado de minusvalía, con objeto de la retención
a cuenta en el IRPF correspondiente, se ha llegado a la conclusión
de que, al ser datos que afectan a la salud, éstos deben
ser considerados de nivel alto, estableciéndose las Medidas
de Seguridad de nivel alto para todo el fichero.
-Respecto a cualquier fichero que contenga datos que haga referencia
a su afiliación sindical, se ha llegado a la conclusión
igualmente que son datos que afectan a la ideología del
individuo, por tanto de nivel alto.
-Se ha establecido igualmente que aquellos ficheros de profesionales
autónomos que contengan datos de carácter personal
están igualmente dentro del radio de acción del
Reglamento.
ALFONSO VILLAHERMOSA IGLESIAS
Alfonsovillahermosa@abogado.zzn.com
Especialista en Economía y Derecho de la Tecnología
Digital
Master en Derecho de las Telecomunicaciones y Tecnologías
de la información por la Universidad Carlos III
