La empresa debe velar por la seguridad de sus ficheros de datos personales

El tratamiento de ficheros automatizados de datos de carácter personal requiere unas medidas de seguridad que toda empresa debe cumplir. El Reglamento de Desarrollo de la Ley de Protección de Datos recoge todas las medidas, que en el caso de las empresas tienen tres niveles: básico, medio y alto.

Las medidas de nivel básico, que han de cumplirse obligatoriamente, son el registro de incidencias; el procedimiento de copias de seguridad y recuperación; la identificación y autenticación; el control de acceso; la gestión de soportes; el acceso a datos a través de redes de comunicaciones; el régimen de trabajo fuera de los locales de la ubicación del fichero y los ficheros temporales.

Además de este primer grupo de medidas básicas, deben implantarse unas medidas de nivel medio en los ficheros relativos a la comisión de infracciones administrativas o penales, así como en aquellos que se refieran a solvencia patrimonial o pago o impago de créditos. También tendrán medidas de seguridad de nivel medio aquellos ficheros de los que sean responsables las Administraciones Tributarias y se relacionen con el ejercicio de sus potestades; los de entidades financieras relacionados con la prestación de sus servicios; los de entidades gestoras y servicios comunes de la Seguridad Social, así como los de las mutuas de accidentes de trabajo y enfermedades profesionales.

Finalmente, requerirán un nivel de seguridad alto -lo que implica, además, haber asumido los niveles bajo y medio- los ficheros o tratamientos de datos relativos a ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual. Deberán estar protegidos de igual manera los datos recabados para fines policiales sin consentimiento de las personas afectadas y los derivados de actos de violencia de género.

El responsable del fichero es el encargado de garantizar la seguridad de los datos y de evitar su pérdida, alteración, tratamiento o acceso no autorizado, según establece el artículo 9 de la Ley 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD). Este precepto también conmina a no registrar datos de carácter personal en ficheros que no reúnan las condiciones necesarias establecidas por la Ley en cuanto a su integridad y seguridad. La Audiencia Nacional ha establecido en varias sentencias que no basta con adoptar cualquier tipo de medida, sino que “deben ser las necesarias para garantizar aquellos objetivos que marca el precepto”.

Asimismo, este tribunal indica que, además de aprobar instrucciones detalladas sobre la recogida y destrucción de datos personales, hay que exigir a los empleados “la observancia” de las mismas. El Documento de Seguridad establecerá las medidas de seguridad sobre el tratamiento informático de datos de carácter personal, mientras que los diferentes niveles se tienen que adoptar en función del tipo de datos que contengan los ficheros.

La empresa debe tener en funcionamiento un sistema de registro de incidencias en el que se haga constar el tipo de incidencia, el momento en que se ha producido, la persona que realiza la notificación de la misma y las medidas correctoras aplicadas. Si los ficheros están sujetos a medidas de nivel medio, el registro deberá constar de los procedimientos realizados para la recuperación los datos. La notificación de las incidencias y la metodología para la gestión de las mismas han de ser notificadas a todos los usuarios.

Incumplir la LOPD: reproche social y multas de hasta 600.000 euros

El incumplimiento de las obligaciones y requerimientos establecidos en la Ley de Protección de Datos (LOPD) puede conllevar la imposición de sanciones, que oscilan entre los 900 € y los 600.000 €, en función de si la infracción cometida es considerada leve, grave o muy grave. El órgano que se encarga de controlar el cumplimiento de las obligaciones que impone la LOPD es la Agencia Española de Protección de Datos (AEPD), que actúa con independencia de las administraciones públicas -aunque rinde cuentas ante el Ministerio de Justicia- y es quien ejerce la potestad sancionadora.

Además de la imposición de sanciones, la empresa que incumple con lo dispuesto en materia de protección de datos está expuesta a un evidente menoscabo de su reputación. Vulneración de los derechos de los clientes, empleados y proveedores, así como su pérdida de legitimidad ante la sociedad, son las dos consecuencias directas e inmediatas que sufre toda empresa que se salte la LOPD. Vendrían a ser como las “condenas” oficiosas que tendrá que cumplir toda empresa que no respete los derechos de los usuarios en materia de protección de datos. Sin embargo, para que el reproche sea efectivo, la Ley prevé una serie sanciones con sus correspondientes multas, que serán aplicables en una serie de supuestos.

Tipos de infracciones y sanciones contempladas por la LOPD

En primer lugar, son infracciones muy graves la recogida de datos de forma engañosa o fraudulenta. También entra en esta categoría la cesión o uso de datos de carácter personal especialmente protegidos, como aquellos que revelen la ideología, religión o afiliación sindical, así como aquellos que hagan referencia al origen racial, salud y vida sexual. Lo mismo sucede con datos relativos a la comisión de infracciones penales o administrativas, que únicamente pueden ser incluidos en ficheros de las administraciones públicas competentes. Su cesión o mal uso puede ser considerada como infracción muy grave.

Otro de los supuestos que entran dentro de las infracciones muy graves es no cesar en el tratamiento ilícito de datos de carácter personal cuando exista un requerimiento previo del director de la AEPD. Igualmente, la transferencia internacional de datos personales con destino a países que no proporcionen un nivel de protección equiparable al de España y sin la autorización del director de la AEPD será considerada también una infracción muy grave. Este tipo de infracción está sancionada con multas que van desde los 300.001 € a los 600.000 €.

En el caso de las infracciones graves, se amplían los supuestos. En esta categoría figura el impedimento o la obstaculización del ejercicio de los derechos ARCO (acceso, rectificación, cancelación y oposición), así como el incumplimiento del deber de información al afectado. Proceder a la creación de ficheros sin autorización publicada en el Boletín Oficial del Estado; tratar datos de carácter personal sin el consentimiento de los afectados y conculcando las garantías que establece la LOPD; incumplir el deber de notificación o requerimiento al afectado; mantener los ficheros sin las medidas de seguridad exigibles y no atender a los requerimientos de la AEPD, son otros de los supuestos considerados como infracción grave. En este caso, las multas van de los 40.001 € a los 300.000 €.

Finalmente, son infracciones leves la no remisión a la Agencia de Protección de Datos de las notificaciones previstas en la Ley, así como no solicitar la inscripción del fichero de datos de carácter personal en el Registro General de Protección de Datos. Asimismo, el incumplimiento del deber de información al afectado y la transmisión de datos sin arreglo a lo establecido en la LOPD también se considerará infracción leve, cuya multa estará entre los 900 € y los 40.000 €.

Los riesgos del comercio electrónico en materia de protección de datos

Hay pocas cosas más sencillas para un comerciante que vender sus productos por internet, del mismo modo que, para un consumidor, no existe nada más cómodo (y en ocasiones barato) que comprar a través de la red. El comercio electrónico tiene innumerables ventajas para clientes y empresas, pero también conlleva una serie de riesgos asociados, propios de la venta a distancia en la que no existe contacto físico entre vendedor y comprador. En muchos casos, para comprar cualquier artículo online se han de rellenar numerosos formularios. Si la operación de compra se realiza en entornos poco seguros, se abre y multiplica la posibilidad al riesgo de que terceros realicen un uso ilícito de los datos de carácter personal aportados.

Si en la web de una empresa, profesional o entidad se recaban datos de carácter personal de los usuarios mediante un formulario, conforme a lo dispuesto en el artículo 5 de la LOPD, el Responsable del Fichero debe informar a los interesados: de la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de datos y de los destinatarios de la información, de la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición y de la identidad y dirección del responsable del tratamiento, entre otras. Esta información debe ponerse a disposición del usuario en la denominada “Política de Privacidad” que deberá ubicarse en el mismo formulario.

Registro de los ficheros en la AEPD

La creación de ficheros de datos personales ha de notificarse previamente a la Agencia Española de Protección de Datos para, posteriormente, regularizar dicha notificación con la identificación del responsable del fichero, la finalidad del mismo, su ubicación, el tipo de datos personales que contiene, las medidas de seguridad exigibles y las cesiones de datos personales que se prevean realizar. Todo cambio que se produzca en el fichero debe ser comunicado a la AEPD, que dará de alta el fichero, siempre y cuando se ajuste a los requisitos exigibles.

Los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) son los que amparan al titular de los datos, al que no se puede exigir contraprestación alguna por el ejercicio de los mismos.

Una inspección sectorial realizada en el año 2000 por la Agencia Española de Protección de Datos, que tenía como objetivo determinar si las entidades que desarrollaban su actividad comercial a través de internet cumplían con la legislación en materia de protección de datos, puso de manifiesto que en algunas de estas tiendas no se identificaba explícitamente al responsable del fichero. Ello, añadía la Agencia, provocaba indefensión al afectado en lo relativo a la protección de sus derechos. La investigación, realizada a 44 webs, subrayaba la “insuficiente información” que se facilitaba al usuario en el momento de recabar sus datos personales. 13 años después se ha mejorado bastante en este aspecto, pero se siguen observando evidentes deficiencias y carencias al respecto.

La falta de información de la que hablaba la inspección se acentúa cuando el cliente no consigue distinguir claramente quién es el comerciante con el que va a realizar una transacción económica. Y es que en un proceso de compra por internet pueden llegar a intervenir numerosos actores: el que gestiona el servidor web, el propio comerciante, el que autoriza la transacción financiera, el que se encarga de emitir los documentos que otorgan la titularidad del producto (una agencia de viajes, por ejemplo), el que sirve el producto o la atención al cliente. El comprador debe saber cuál de todos ellos es el que decidirá sobre el uso y finalidad de sus datos personales, y ante quien puede ejercer sus derechos de acceso, rectificación, cancelación y oposición.

Fraude online: Phising y Pharming.

Para aquellos que utilizan internet habitualmente para realizar compras o transacciones bancarias, la AEPD lleva años advirtiendo sobre el phising y el pharming, fraudes cada vez más conocidos pero que día a día encuentran nuevas víctimas. El primero consiste en enviar a usuarios de banca electrónica correos falsos, en los que haciéndose pasar por una entidad bancaria, solicitan datos personales como el nombre y las claves del usuario. El pharming, por su parte, se basa en duplicar exactamente la web de un banco, de forma que el usuario cree que está navegando por la auténtica e introduce en ella sus claves de acceso a las cuentas.

Por último, destacamos dos útiles recomendaciones de la AEPD para hacer un uso más seguro de la comercialización electrónica: utilizar servicios que operen mediante conexiones seguras ( tipo https), y utilizar tarjetas de crédito para uso específico en internet.