ÁMBITO DE ACTUACIÓN DE LA LEY DE PROTECCIÓN DE DATOS

Debemos tener en cuenta que en España, para la vigilancia de La ley de protección de datos (LOPD) se crea la Agencia Estatal de Protección de Datos, que tiene amplias competencias de control sobre la actuación de prevención, inspección, control y sanción de las conductas contrarias a la Ley.

La propia ley establece una serie de infracciones en su normativa que afectarán a aquellas personas que se consideren responsables de los ficheros de datos personales y encargados de su tratamiento.

Estas infracciones se dividen en infracciones leves, graves y muy graves, y a cada tipo de infracción le va aparejada un tipo de sanción, y que oscila ente la multa de una infracción leve de entre 900 y 40.000 € hasta la sanción muy grave que contempla por ejemplo tratar o ceder los datos de carácter personal cuando la Ley no lo permite.

Este incumplimiento muy grave entre otros, puede acarrear en la nueva normativa que se puedan llegar imponer a las empresas que no cumplan las obligaciones una sanción de hasta 20 millones de euros o el 4% de la facturación anual.

Se considera “dato personal” a todo dato informativo capaz de hacer identificada o identificable a una persona física. Es decir, cualquier dato que, por sí mismo o en consonancia a otros datos que pudieran cotejarse, pueda llevar a la identificación de una persona física deberá ser considerado dato personal.

Por otra parte, existen una serie de principios generales que las empresas deberán tener en cuenta a la hora de aplicar esta regulación, como son la minimización de los datos personales, debiéndose tratar los datos justamente necesarios para el tratamiento.

También la limitación de la finalidad del tratamiento, es decir, que los tratamientos se realicen para unas finalidades concretas y la limitación del plazo de conservación de los datos personales, lo que implica bloquear y/o destruir los datos en plazo de tiempo determinado.

Esencial es la transparencia en cuanto a la información proporcionada a los interesados sobre el tratamiento de sus datos personales, y la responsabilidad proactiva en el uso de medidas de seguridad y políticas antes brechas de seguridad en los sistemas utilizados por las empresas en el tratamiento de los datos personales.

Los datos deben ser tratados con exactitud y veracidad cuando los mismos no sean proporcionados por los interesados, y se requiere la obtención de consentimiento expreso como base de legitimación para el tratamiento de datos personales, cuando proceda. 

En el seno de cualquier empresa afectada por la normativa en materia de protección de datos de carácter personal, deberá tener en consideración dos figuras principales en el tratamiento de datos. 

Estas figuras son el responsable del tratamiento de datos personales que será quien tome las decisiones sobre el tipo de tratamiento y las finalidades del tratamiento de datos personales en una relación comercial.

Y el encargado del tratamiento de datos personales que es quien va a tener acceso a bases de datos personales del responsable del tratamiento; y cuya función principal es que deberá seguir al pie de la letra las instrucciones del responsable del tratamiento en lo que respecta a la finalidades de uso de los datos integrados en las bases de datos.

Conforme al Reglamento General de Protección de Datos, el tratamiento de datos de los interesados debe estar en todo caso amparado en alguna de las bases legales recogidas por la normativa en materia de protección de datos y especialmente con base al consentimiento expreso del interesado.