La llei de protecció de dades personals

Escrit el juliol 11, 2007 per Pragma Admin  
Classificat com General

UNA SANCIÓ POT ACABAR AMB LA MEVA EMPRESA?
Segur que qualsevol empresari és conscient que posar en marxa una organització, per petita que sigui, comporta molts mals de cap i riscos de tota mena. Per això, parlar del perill de sancions per incompliments sota la perspectiva de «ficar por» no sembla la manera més adient de fer complir les lleis.

Dit això, sí que és responsable pensar que vivim en un món cada cop més competitiu, que no es poden ignorar les obligacions inherents al desenvolupament del nostre negoci, i que conèixer i mesurar els riscos potencials és un bon exercici de supervivència.

Hi ha un paquet de legislació que afecta la nostra organització de molt a prop, independentment del tipus de negoci a què ens dediquem. Aquest cos legislatiu (ara sí que cal dir-ho des de la perspectiva del coneixement), preveu un règim sancionador massa important per ser ignorat.
En aquest paquet de mesures legislatives trobem la llei referent als riscos laborals que tracta de la seguretat a la feina, la Llei de serveis de la societat de la informació i el comerç electrònic, que especifica tot un seguit d’obligacions per a aquelles organitzacions que tenen pàgina web, i la Llei de protecció de dades personals, que bàsicament estableix que totes les organitzacions que tracten dades de caràcter personal (nom, telèfon, adreça…) han de complir un seguit de requisits que comentarem a continuació. Hi ha més legislació (la que fa referència a la signatura digital, la que permetrà el desenvolupament de la factura telemàtica…) però les anteriors són, ara com ara, les més significatives.

Però, per què aquesta llei? L’increment de programes informàtics i la proliferació d’Internet fan que, si fos possible i legal creuar les bases de dades personals que existeixen, algú pogués saber absolutament tot de la nostra persona amb la inherent invasió de la nostra intimitat. Pensem que contínuament deixem rastre electrònic. En aquest sentit, quan anem al cinema i paguem amb targeta o quan al supermercat passen els productes pel lector del caixer, queda rastre del que hem adquirit i seria possible saber a quina sessió de cinema hem anat, si sols o acompanyats, quina mena de iogurt ens agrada, si comprem carn de vedella o de pollastre…

És per tots aquests motius que el legislador ha entès que cal crear un cos legislatiu sobre la protecció de dades personals que empari el ciutadà d’una eventual intromissió en la seva esfera privada. Fruit d’això, neix la Llei orgànica 15/1999 de 13 de desembre, de protecció de dades de caràcter personal en qualsevol mena de suport (paper, imatge, so…) que dóna resposta a una directiva europea en aquest sentit i substitueix l’antiga LORTAD de l’any 1992, que només feia referència als fitxers informàtics.

I, quines són les principals obligacions que hem de complir? Doncs bàsicament dues. La primera és donar d’alta els fitxers de l’empresa al Registre General de l’Agència Espanyola de Protecció de Dades (sempre que es tracti de fitxers privats). És un tràmit gratuït que es pot fer per Internet: connectant-se al web, omplint uns camps i enviant posteriorment un escrit de petició d’alta. Les instruccions per fer-ho es poden trobar a l’adreça www.agpd.es.

L’altra obligació és crear un Document de Seguretat, que consisteix en un escrit en el qual fem constar totes les mesures de seguretat adoptades en l’organització per protegir les dades personals existents. Aquest pas no és tan senzill ja que el document esmentat anteriorment ha de contemplar aspectes molt variats com ara: quan fem còpies de seguretat del servidor, revisar que els documents que recullen dades personals continguin una clàusula informativa de la llei, revisar tota la contractació perquè aparegui reflectida la confidencialitat…

És possible fer-ho un mateix, però atesa la complexitat és recomanable comptar amb els serveis d’un expert de la nostra confiança. Cal dir que ens hem de malfiar dels que diuen que fan protecció de dades per quatre duros, ja que sovint es tracta de persones que saben poc del tema i que es limiten a donar d’alta els fitxers i entregar-nos un document de seguretat fotocopiat que no s’adapta a la nostra organització.

L’autèntic servei ens el proporcionarà un professional de confiança, que no solament haurà analitzat la nostra organització per redactar un bon informe que contempli solucions a tota la problemàtica, sinó que, a més, compareixerà quan el truquem per fer-se càrrec d’una inspecció a casa nostra amb els inspectors de l’Agència en «cos present».

Parlant d’agències, cal recordar que també hi ha a algunes comunitats l’agència autonòmica de protecció de dades, com és el cas de Catalunya, la competència de la qual, però, està relacionada amb fitxers de les administracions públiques i organismes vinculats.

Per acabar, ens agradaria fer constar que l’Agència Espanyola de Protecció de Dades publica en el seu web recomanacions per a les organitzacions que cal seguir. I per contestar a la pregunta que possiblement s’estarà fent el lector, el risc que un inspector (bé, dos ja que sempre van en parella), aparegui per la porta és cada vegada més alt. L’agència estatal actua segons tres criteris: en primer lloc, per plans sectorials (com Hisenda, cada any toca un sector mercantil i fan recomanacions); en segon lloc, d’ofici (com aquell cas en què es troben uns currículums, surten als mitjans de comunicació, l’agència s’assabenta i ve) i, per últim, per denúncia (pot denunciar qualsevol i aquí és on està el mal, ja que si la denúncia presentada tracta de vulneració de drets fonamentals –que és la majoria de vegades— els inspectors no tenen altre remei que actuar).

Xavier Salla
Consultor en Protecció de Dades Personals
Nifled Consultors