HABLEMOS SOBRE LOPD y AEPD
En entradas anteriores ya te explicamos a groso modo que es la LOPD y la AEPD. Por ello y para poder entender este y demás términos que utilizaremos en esta entrada le recomiendo pasarse por el siguiente ENLACE.
La red está plagada de datos, información muy suculenta para empresas. Empresas que contratan a hackers, palabra que proviene de pirata y cortar. Pues se trata de personas que roban y cortan tus datos. Al decirte esto quizás esté generalizando demasiado a la palabra hacker porque no se dedican solo a robarte la información. En cualquier caso, para que tu información esté segura en la red existen agencias nacionales e internacionales que se dedican a la protección de tu información. Ejemplo de ello es la AEPD, Agencia Española de Protección de Datos.
¿Pero cómo funciona este organismo?
La principal motivación de la AEPD es dictar instrucciones precisas para adecuar los tratamientos a los principios de la Ley. Atender peticiones y reclamaciones formuladas por las personas afectadas, en particular las reclamaciones relativas a supuestos en que el responsable del tratamiento de datos personales no haya atendido las solicitudes de ejercicio de los derechos de acceso, modificación, rectificación y oposición.
También se ocupa de informar a las personas de sus derechos en materia de tratamiento de los datos de carácter personal. Requerir a los responsables y los encargados de los tratamientos la adopción de las medidas necesarias para la adecuación del tratamiento de datos a las disposiciones de la Ley. Ejercer la potestad sancionadora en la materia. Velar por la publicidad de la existencia de los ficheros de datos con carácter personal. Redactar una memoria anual y remitir al Ministerio de Justicia.
Pero dejémonos de tanta jerga técnica y ejemplifiquemos un poco. A continuación te propongo los siguientes casos:
— CASO1: Una mujer acudió al servicio de urgencias de un hospital público. Unos meses más tarde, una empresa que estaba realizando una investigación contactó con ella. Los investigadores sabían cuándo estuvo en el hospital y por qué, y le pidieron que respondiera a algunas preguntas. La mujer se molestó por el hecho de que el hospital hubiera informado a los investigadores sobre su estancia, por lo que acudió al hospital para aclarar este asunto. Sin embargo, no se quedó conforme con la respuesta del hospital y presentó una queja a la Agencia de Protección de Datos. El hospital dijo que habían colocado un aviso en la sala de espera de urgencias en el que se informaba a los pacientes que el hospital iba a proporcionar información sobre ellos a los investigadores, invitando a los pacientes que se opusieran a ello a comunicarlo en la recepción. La Agencia de Protección de Datos resolvió que el hospital debía haber preguntado a cada persona individualmente si querían o no participar en la investigación.
En este primer caso observamos una vulneración total hacia los datos personales de un individuo. Como organismo administrativo el hospital estaba en la obligado a informar de que la información estaba siendo cedida a una investigación. El error está en que lo hicieron de forma general, colgando un cartel, y no informaron de forma individualizada. Cosa que podían haber hecho en el propio mostrador de consultas.
— CASO2: Hace algunos años un hombre joven fue condenado en primera instancia por un delito menor. Apeló la sentencia y resultó absuelto. Al cabo de un tiempo, el hombre decidió emigrar a un país que le exigía no disponer de antecedentes policiales, para lo que necesitaba una certificación por parte de la policía. Presentó una solicitud de acceso a la policía acogiéndose a la Ley de Protección de Datos de carácter personal. Cuando la policía le respondió, el ciudadano se inquietó al comprobar que las diligencias policiales seguían constando en la base de datos. Entonces, el hombre contactó con la Agencia de Protección de Datos porque estaba preocupado por el hecho de que la acusación original siguiera figurando en las bases de datos policiales. Finalmente, la policía entregó al hombre una certificación acreditando la cancelación de sus antecedentes.
Hablamos de nuevo de negligencias corporativas. En este caso la policía nacional no había cumplido con su cometido y no eliminó las diligencias policiales tras ser absuelto el acusado. Una mancha en un expediente que le negaba la libertad de circulación por algunos territorios extranjeros.
Puede que te parezca absurdo, incluso un rollo, que los datos al fin y al cabo son datos y nada más. Me permito la licencia discrepar e indicarle que está muy equivocado, los datos son información y la información es poder. Imagina que montas una empresas de queso en tu pueblo, a que te interesaría saber a cuanto público va a llegar, a cuantos ciudadanos le gustan este derivado lácteo. Seguramente la gente pasaría de ofrecerle la información, y porque a él no y si a google. No sabías que google usa algoritmos basado en lo que dices a través de tus dispositivos inteligentes para exponerte a anuncios basados en tus preferencias, sino me crees abre google en tu computadora y ponte a hablar de cuchillas de afeitar... El primer anuncio que te saldrá será de cuchillas. Bueno y eso no es nada, hoy en día gracias a tu tan querido dispositivo móvil te pueden monitorizar instantáneamente gracias a tener activo tu geolocalizador. Y si no me cree visualiza el siguiente video, ya de hace unos años (2015) donde veras que todo lo que te acabo de decir es real.
Todo esto puede que te de miedo, quizás te recuerde al film de 1984 El Gran Hermano. Y es así, nuestra libertad individual se estaba vulnerando. Hasta que en 1992 surge la ya mencionada agencia que se acoge al artículo 18 de la Constitución Española que garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen; reconoce la inviolabilidad del domicilio; garantiza el secreto de las comunicaciones; y, en particular, regula que la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos. Basada en el derecho a la privacidad recogido en la Declaración Universal de los Derechos Humanos (DUDH) redactada en 1948.
Años más tarde, en 1999, se aprueba en España la Ley de Protección de Datos (LOPD), ya mencionada en unos párrafos más arriba (en el Caso 2). Esta establece que los españoles tienen derecho a la intimidad en el uso de los dispositivos digitales, a la desconexión digital y a la intimidad frente al uso de dispositivos de videovigilancia y geolocalización en los términos establecidos en la legislación vigente en materia de protección de datos personales y garantía de los derechos digitales. A continuación una serie de verdades absolutas amparadas por esta ley:
— Todos estamos obligados a cumplir las leyes de protección de datos personales, tanto las empresas y sus trabajadores como la administración y sus empleados.
— Los datos personales pertenecen siempre a la persona a la que se refieren. Las administraciones o empresas que los hayan recogido sólo podrán utilizarlos para la finalidad para la que fueron obtenidos y deberán tenerlos actualizados y protegidos.
— Los datos personales son informaciones que identifican o hacen identificable a una persona. Algunos datos pertenecen a la esfera más íntima de la persona y, por tanto, deben protegerse especialmente: la ideología, la religión, creencias, afiliación sindical, origen racial, la salud, la vida sexual y datos sobre infracciones penales y administrativas.
— Cuando una administración o una empresa solicita datos de carácter personal (mediante formularios en papel o en una página web o verbalmente) deberán informar a la persona sobre:
a) La existencia de un fichero donde se incluirán los datos.
b) Para qué se van a utilizar los datos.
c) La posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición y a quién se ha de dirigir la petición (Responsable del tratamiento y su dirección).
— Es preciso informar a los clientes de que se desea utilizar su número de teléfono con fines comerciales y darles la oportunidad de oponerse. Por ejemplo, no se debería utilizar su número de teléfono para llamadas comerciales no solicitadas o autorizadas explícitamente.
— Como regla general, es necesario el consentimiento de la persona, salvo dos excepciones:
1) Cuando una ley autorice a recogerlos y tratarlos sin consentimiento.
2) Cuando existe un contrato entre la administración o la empresa y el interesado y este contrato hace necesaria la recogida y el tratamiento de cierta información personal.
— Las administraciones o empresas han de respetar el principio de CALIDAD de los datos, esto es, han de pedir sólo los datos ADECUADOS, PERTINENTES, Y NO EXCESIVOS para la finalidad pretendida. Y estos datos no podrán utilizarse para finalidades incompatibles con aquella para la que fueron recogidos.
— Se requiere una autorización por escrito adecuada para dar la información a otra persona que no sea la titular de los datos.
— Este derecho de Acceso puede ser ejercido una vez por año. También se pueden ejercer los derechos de Rectificación, Cancelación y Oposición. Todos estos derechos son conocidos con el acrónimo ARCO.
— Las Administraciones o empresas han de adoptar medidas técnicas y organizativas para garantizar la seguridad de los datos tratados en ficheros informáticos o manuales. Según el tipo de datos, las medidas de seguridad a aplicar pueden ser de nivel alto, medio o bajo. Algunas medidas son: documentos de seguridad, llaves de armarios, contraseñas de acceso, instrucciones, copias de seguridad, etc.
— La obligación de guardar el secreto profesional no desaparece aunque finalice la relación de trabajo que me vincula con la organización para la que trabajo.
— Con carácter general si es necesario este consentimiento, pero hay algunas excepciones:
- Cuando lo autoriza una ley.
- Cuando la cesión tiene fines históricos, estadísticos o científicos.
- Cuando el destinatario es el defensor del pueblo, los Tribunales o el Tribunal de Cuentas, etc.
— Una forma adecuada de destruir listados con datos personales es utilizar destructoras de papel o realizarlo a través de empresas especializadas que se comprometan a hacerlo de una forma segura. Pasar el papel con datos personales a otras personas no es un procedimiento seguro para conservar la reserva de estos datos.
— La Lista Robinson es una reserva de direcciones, gestionada por la Federación Española de Comercio Electrónico y Marketing Directo (FECEMD), en la que se puede incluir libremente cualquier persona que no quiera recibir publicidad directa de ninguna empresa con la que no tenga relación comercial.
— La fotografía es un dato personal que le hace identificable por lo que puede ejercer los derechos que le asisten para impedir la difusión no consentida de la misma.
— Sí se puede denunciar a la empresa ya que ha incumplido el principio de calidad de los datos que, entre cosas, exige que los datos sean exactos y puestos al día, de forma que respondan con veracidad a la situación actual de la persona. De hecho las sanciones de esta ley llegan hasta la cifra de los 600.000 €.
Como has podido ver tus datos son un derecho universal, ninguna empresa puede privarte de ello. Para ofrecer una idea resumida de todo lo que hemos estado hablando te dejo el siguiente vídeo.
En conclusión, La Agencia Española de Protección de Datos (AEPD) supervisa el cumplimiento de la ley de Protección de Datos en España mediante la orientación y la investigación de posibles violaciones de la LOPD, y ofreciendo un espacio en el que los particulares puedan presentar sus quejas en relación con el uso de sus datos personales en situaciones específicas.
LA AEPD SE OCUPA DE PROTEGER TUS DATOS.
16/04/2021
