Definiciones y exclusiones
Datos de carácter personal: Cualquier información concerniente a personas físicas identificadas o identificables.
Fichero: Todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.
Tratamiento de datos: Operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.
La Ley se aplica tanto a ficheros públicos como a privados.
Las excepciones a la Ley son la siguientes:
a) Ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas.
b) Ficheros sometidos a la normativa sobre protección de materias clasificadas.
c) Ficheros establecidos para la investigación del terrorismo y de formas graves de delincuencia organizada. No obstante, en estos supuestos el responsable del fichero comunicará previamente la existencia del mismo, sus características generales y su finalidad a la Agencia de Protección de Datos
Hemos dividido en 3 los requerimientos que la legislación actual requiere de su cumplimiento a las empresas:
1.- Inscripción en la Agencia de Protección de Datos de todos los ficheros de carácter personal existentes
2.- Establecimiento de una política de protección a los ficheros previamente inscritos según el nivel requerido en el Reglamento.
3.- Establecimiento de una política de Protección de Datos, según la Ley Orgánica de Protección de Datos.
El punto primero es básico. De hecho, no tiene mucho sentido establecer las Medidas de Seguridad que pide el Reglamento si no hemos inscrito previamente nuestros ficheros en la Agencia. Por tanto, la primera tarea es proceder a dicha inscripción, y para ellos hemos elaborado un apartado donde se explicará este punto ampliamente.
Una vez inscritos, debemos de establecer las Medidas de Seguridad que establece el Reglamento. Para ello, la identificación del nivel de seguridad exigido es determinante, ya que dependiendo de uno o de otro, las medidas son diferentes, aunque siempre acumulativas unas de otras. Los ficheros de nivel básico contienen datos que inciden poco en la esfera del individuo: nombre, apellidos, dirección, número de teléfono o dirección de correo electrónico. Los datos de nivel medio son el siguiente escalón: datos de hacienda pública o infracciones administrativas o penales
Es difícil que usted tenga datos de nivel medio, por cuanto es la Administración la principal receptora de los mismos. Los de nivel alto son los datos para los cuales el legislador ha querido un nivel mayor de protección, no en vano inciden sobre la ideología, carácter o estado de salud del individuo, y para ellos se ha querido un nivel de seguridad bastante amplio. Y la posibilidad de que usted tenga datos de este nivel no es en absoluto desdeñable. Y si no, preste atención al siguiente párrafo.
Creemos que son necesarias varias apreciaciones llegados este punto. La primera, que sólo deben preocuparnos datos «personales», esto es, todos aquellos datos de empresas -facturas, clientes…- permanecen, a priori, fuera del radio de acción. Lo que ocurre en muchas ocasiones es que, al referirnos a empresas, muchas de ellas tienen un nombre societario que hacen referencia al administrador o dueño de la misma, lo que lo convierte directamente en un dato de carácter personal, y por ende, en destinatario de todas las medidas de protección. Además, si en un fichero de datos compuestos por nombres de empresas o datos de carácter abstracto o no personal, si en dicho fichero existe un solo dato de carácter personal de nivel alto -por ejemplo-, el fichero entero es de nivel alto, no importando que el resto de datos no sean de carácter personal o tengan un nivel inferior. Además, y aunque la Ley no hace distinción entre datos automatizados y datos no automatizados, a efectos del Reglamento nos interesan los datos automatizados, y sólo esos.
De otra forma, datos que se contengan en facturas o fichas, que no esten automatizados -esto es, en soporte digital-informático- no nos interesan. Aunque existe un plazo (hasta el 2007) por el cual, a partir de dicha fecha, también los datos no automatizados deberán de ser destinatarios de las medidas de seguridad que se regulen. Debe saber que cuando nos referimos a alguna medida que haga referencia a la Ley, no se establece diferencia alguna entre dato automatizado y dato no automatizado. Mientras que las medidas establecidas en el Reglamento, sólo atañen, de momento, a los datos automatizados.
Por último, la Agencia de Protección de Datos ha ido resolviendo algunas dudas al respecto tales como:
- Respecto a los ficheros que contienen las nóminas de los empleados, si estos tienen una casilla que especifique un determinado grado de minusvalía, con objeto de la retención a cuenta en el IRPF correspondiente, se ha llegado a la conclusión de que, al ser datos que afectan a la salud, éstos deben ser considerados de nivel alto, estableciéndose las Medidas de Seguridad de nivel alto para todo el fichero.
- Respecto a cualquier fichero que contenga datos que haga referencia a su afiliación sindical, se ha llegado a la conclusión igualmente que son datos que afectan a la ideología del individuo, por tanto de nivel alto.
- Se ha establecido igualmente que aquellos ficheros de profesionales autónomos que contengan datos de carácter personal están igualmente dentro del radio de acción del Reglamento.