LA PROTECCIÓN DE DATOS PERSONALES

Carlos Puigcerver Asor
Socio de Almela Abogados.
Profesor Asociado de Derecho Procesal
de la Universidad de Valencia.
Colaborador de A.P.M. ASESORES.

En enero de 2003 se cumplió el plazo de tres años concedido por la Disposición Adicional primera de Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal para que todos los ficheros de datos de titularidad privada y su tratamiento automatizado se adecuen a lo dispuesto en dicha Ley y, asimismo, sea comunicada su existencia a la Agencia de Protección de Datos.

La citada Ley Orgánica se dictó con el objeto de que el tratamiento de cualquier información concerniente a las personas físicas registrado en un soporte físico se realice sin afectar a sus libertades públicas o derechos fundamentales, especialmente, el derecho al honor y la intimidad personal y familiar, entendiéndose por tratamiento todas aquellas operaciones y procedimientos técnicos que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación de dicha información, así como la cesión o comunicación de los mismos, es decir, la revelación a persona distinta del interesado.

Con la finalidad de cumplir dicho objetivo, se establecen en la Ley una serie de obligaciones y se prevén sanciones para el caso de incumplimiento de las mismas, sanciones que son de muy elevada cuantía.

De esta manera, toda persona o entidad que posea o cree ficheros de datos de carácter personal tiene la obligación de notificarlo a la Agencia de Protección de Datos, indicando necesariamente quien es el responsable del fichero, cual es su finalidad, donde se encuentra ubicado, qué tipo de datos contiene, las medidas de seguridad implantadas y que cesiones de los datos tiene previsto realizar.

Por otra parte, cuando se recaben datos personales, el interesado, deberá ser informado, previamente y de modo expreso, preciso e inequívoco de la existencia del fichero, de su finalidad, de los destinatarios de los datos, de los derechos que tiene de acceso, rectificación, cancelación y oposición a los datos personales. Asimismo, se le deberá de informar de la persona responsable de los datos y se deberá obtener su consentimiento expreso para el tratamiento de los datos. Es importante destacar que los datos sobre la salud, partes e informes medicos, de las personas están especialmente protegidos.

Por último, el Real Decreto 994/1999 por el que se aprueba el Reglamento de Medidas de Seguridad de los Ficheros Automatizados que contengan datos de carácter personal, con el objeto de evitar el acceso o tratamiento no autorizado de los mismos, así como su alteración o pérdida, establece que todos los responsables de los ficheros que contengan datos de carácter personal están obligados a adoptar las medidas de seguridad en el mismo establecidas, medidas de seguridad que son mayores o menores según la clase de datos que contengan los ficheros.

En cuanto a las sanciones, es necesario advertir con carácter previo que la Ley sujeta directa y personalmente al responsable de los ficheros y los encargados del tratamiento de los datos a dichas sanciones, siendo la indicación del responsable de los ficheros una de las menciones obligatorias cuando se notifica a la Agencia de Protección de Datos la creación o preexistencia de un fichero.

Dichas sanciones son muy elevadas, oscilando sus cuantías entre la mínima de 601,01 € (100.000’-pesetas) a la máxima de 601.012,10 € (100 millones de pesetas).

Así, por el incumplimiento de la obligación de notificar a la Agencia de Protección de Datos la creación o tenencia de un fichero de datos de carácter personal, si sólo se considera como infracción de carácter leve, la sanción puede llegar hasta 60.101,22 € (10 millones de pesetas), si se califica como grave la cuantía podría alcanzar 300.506,06 € (50 millones de pesetas).

La no adopción de las medidas de seguridad exigibles según el citado R.D. 994/1999, o recabar datos de carácter personal sin el consentimiento expreso del interesado, son infracciones graves y el importe de la sanción puede oscilar entre 60.101,22 € (10 millones de pesetas) y 300.506,06 € (50 millones de pesetas).

La cesión de datos de carácter personal fuera de los casos en que esté permitida, la recogida de datos en forma engañosa y fraudulenta, o la vulneración del deber de guardar secreto sobre los datos relativos a la salud, están calificadas como infracciones muy graves y la sanción mínima a imponer es de 300.506,06 € (50 millones de pesetas), pudiendo llegar a 601.012,10 € (100 millones de pesetas).

La Ley Orgánica 15/1999, obliga a todas las personas, físicas o jurídicas, (autónomos, empresarios individuales, sociedades mercantiles) que posean o creen ficheros de datos de carácter personal (bien sea ficheros de clientes, proveedores, empleados..etc.), por lo que sería aconsejable que tanto los profesionales autónomos como las empresas realizasen:

• una auditoría de la situación actual de sus ficheros
• la implementación de las medidas necesarias para adaptarlos a la ley
• y, por último, un seguimiento o mantenimiento legal y técnico de las mismas.

Por lo que dada la legislación vigente y la oportunidad, desde este espacio que nos brinda el Colegio de Mediadores de Seguros Titulados de Valencia, esperamos que todos sus colegiados tomen conciencia de la importancia de la protección de datos en lo relacionado con sus actividades profesionales.