05/12/2007

EL CUMPLIMIENTO DE LA LOPD UNA ASIGNATURA PENDIENTE PARA EL 2008



Todavía son muchas los servicios de atención a mayores que, a Diciembre 2007 no cumplen adecuadamente la normativa de Protección de Datos. La Ley Orgánica de Protección de Datos, de obligado cumplimiento para todo tipo de entidades, estableció una serie de plazos para la implantación de las obligaciones en ella establecidas. El último de éstos finalizó el pasado 24 de Octubre, fecha tope para inscribir en el Registro de la Agencia Estatal de Protección de datos todos los ficheros en soporte papel, por consiguiente todos aquellos servicios que habían demorado el cumplimiento de la normativa por tener toda la información de sus usuarios, empleados y proveedores en este soporte deben ahora cumplir los requerimientos legales. De la responsabilidad derivada en esta normativa y de otras se habló en el Seminario de Responsabilidad Jurídica para Directores de Residencia que Inforesidencias.com celebró en la feria de SERPROMA el pasado 30 de Noviembre en Valencia.

Como dijimos los profesionales de Inforesidencias.com en nuestro seminario de Responsabilidad celebrado en Valencia, el sector de los servicios a personas mayores, y en concreto las residencias, es uno de los más intervenidos por la Administración, en cuanto de que debe cumplir numerosas normativas de forma paralela. Una de ellas, sin duda relevante por las consecuencias en forma de sanciones que puede acarrear su inclumplimiento es la referente a la Protección de Datos.

La promulgación de la Ley Orgánica 15/1999, de 13 de diciembre y del Real Decreto 994/1999, de 1 de junio, estableció un marco legal relativo a la protección de datos de carácter personal que impone importantes obligaciones para las empresas, empresarios, profesionales y entidades en general. Asimismo, se creó la Agencia de Protección de Datos, que es un organismo independiente de las Administraciones Públicas encargado de velar por el cumplimiento de esta normativa. La Agencia de Protección de Datos tiene la potestad sancionadora, y por ello, dispone de los mecanismos necesarios para hacer efectiva la aplicación de esta Ley y sancionar a quienes la incumplan.

La ley es de aplicación a todos los datos de carácter personal registrados en soportes físicos que los hagan susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos, según establece el artículo 2 de la Ley. Esta Ley afecta a todas las empresas, empresarios, profesionales y entidades en general que tengan ficheros con datos de carácter personal relativos a personas físicas. Por consiguiente TODAS LAS EMPRESAS DEL SECTOR SERVICIOS A PERSONAS MAYORES ESTÁN OBLIGADAS A SU CUMPLIMIENTO.

La Ley considera datos de carácter personal, cualquier información concerniente a personas físicas (por ejemplo: nombre, apellidos, número de la Seguridad Social o Mutualidad, dirección postal y/o electrónica, teléfono, datos bancarios, etc.), y fichero de datos personales, todo conjunto organizado de datos de carácter personal cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.

Según la ley, el Responsable del fichero o tratamiento, es la persona física o jurídica, de naturaleza pública o privada, que decida sobre la finalidad, contenido y uso del tratamiento de los datos de carácter personal que contengan los ficheros. Con una definición tan amplia, resulta que todos los empresarios, profesionales y entidades en general son Responsables de ficheros. Y no es cierta la idea tan extendida de que la Ley sólo afecta a las grandes empresas o a las que realizan publicidad directa.

 

Se deben cumplir una serie de requisitos legales, orientados básicamente a garantizar los derechos de los ciudadanos. Estos requisitos son:

1. Que los ficheros estén registrados en la Agencia de Protección de Datos.
Para ello es necesario elaborar unas notificaciones con los datos requeridos por la Agencia para proceder a la inscripción de los ficheros en el Registro General de Protección de Datos.
2. Hay que obtener el consentimiento de la persona titular de los datos de carácter personal para poder registrar sus datos y además estos datos tienen que estar correctamente registrados.
3. Los datos no pueden ser usados con finalidades diferentes a las autorizadas por el titular de los datos.
4. También es necesario el consentimiento del titular para la transmisión de sus datos a una tercera persona.
5. Si existe una transferencia internacional de datos, tienen que cumplirse las garantías establecidas en la Ley.
6. La empresa tiene que disponer del preceptivo documento de seguridad interno, donde se establezcan las medidas de seguridad de la empresa que cumplan todos los requisitos legales establecidos en el Real Decreto 994/1999. Este documento tiene que estar en la empresa a disposición de la inspección de la Agencia de Protección de Datos.

La ley busca garantizar que los ciudadanos tengan protegida su intimidad frente a la información de la que se pueda disponer sobre ellos en diferentes bases de datos.

Existen tres niveles de seguridad, en función del tipo de datos de carácter personal de los ficheros de la empresa: Nivel Básico, Medio y Alto.

En el nivel de seguridad básico se encuadran todos los ficheros que contengan datos de carácter personal.

En el nivel de seguridad medio, tenemos los ficheros que tengan información de carácter financiero, patrimonial o que contenga datos que cruzados permitan evaluar la personalidad del individuo.

El nivel de seguridad alto, lo tienen que cumplir todos los ficheros que contengan datos de ideología, religión, afiliación sindical, creencias, origen racial, salud o vida sexual. En las bases de datos de los trabajadores de la empresa es común tener datos relativos a la afiliación sindical, o a las alta y bajas laborales de los trabajadores.Las medidas de seguridad son acumulativas, es decir que un fichero con datos relativos a la salud, debe cumplir las medidas de seguridad de nivel básico, medio y alto. Dichas medidas se reflejarán en el documento de seguridad. Es obligatorio disponer de él y cumplirlo. Al disponer los centros residenciales información sobre la SALUD DE LOS RESIDENTES debe cumplir la normativa al más alto nivel de exigencia.

Las infracciones pueden ser leves, graves y muy graves, y las sanciones van desde 601,01 a 60.101,21 Euros de 60.101,21 Euros a 300.506,05 Euros y de 300.506,05 Euros a 601.012,10 Euros respectivamente. Por no inscribir los ficheros en el Registro General de Protección de datos nos pueden imponer una sanción leve, y por no disponer del preceptivo documento de seguridad, una sanción grave.Dada la cuantía de las sanciones, esta materia resulta de vital importancia para todas las empresas, empresarios, profesionales y entidades en general afectados por la LOPD.

Si posee o gestiona un servicio de atención a mayores y no está cumpliendo correctamente esta normativa, le recordamos que desde Inforesidencias.com le podemos ayudar a través de nuestro patrocinador de la sección ¿Necesita un abogado?, el Bufete Escura.