Si no conocéis la Ley Orgánica de Protección de Datos o en su corta forma conocida como LOPD os aconsejo que sigáis leyendo porque hoy toca hablar de la seguridad de nuestros datos. Tras varias cuestiones realizadas que personas relacionadas con mi entorno me han planteado y siendo uno de mis campos preferidos en el sector de la seguridad informática, me encuentro en la tesitura de elaborar una pequeña guía general en la cual ustedes podáis comprender el motivo mediante los cuáles vuestra bandeja de entrada del correo electrónico ha sido inundada con mensajes como “Debe aceptar los términos para que puedas seguir recibiendo nuestros emails” o “Hemos actualizado nuestra política de privacidad” entre otros.
El contexto que he comentado es uno de los ejemplos, pero no sólo afecta a éste, véase por ejemplo el escándalo que se produjo en cuanto a revelar datos personales de hasta 50 millones de estadounidenses descubriéndose que dichos datos fueron extraídos de forma irregular a través de la compañía estadounidense y conocida como red social Facebook con el fin de utilizarse en campañas electorales. Pese a que en su mayoría eran estadounidenses, también fueron expuestos en menor porcentaje ciertos datos de personas de otras nacionalidades, entre ellos con nacionalidad española y es por ello por lo que más tarde la AGPD (Agencia Española de Protección de Datos) inició una investigación tras dicho escándalo. Todo ello ha conducido al cierre de la empresa “Cambridge Analytica”.
Y este es uno de entre varios motivos por los cuáles es tan importante conocer nuestra Ley Orgánica de Protección de Datos así como el nuevo Reglamento General de Protección de Datos que de este último os hablaré en próximos artículos.
Será una pequeña guía generalizada puesto que no quiero entrar con demasiados tecnicismos con el fin de que el público de este blog pueda tener un básico conocimiento sobre todo este interesante tema sobre la ley de protección de datos.
Tabla de contenidos
- 1 Ley de Protección de Datos ¿Qué es?
- 2 ¿Es la Agencia Española de protección de datos (AEPD) el organismo que regula la LOPD?
- 3 ¿Cómo está formada dicha ley de protección de datos?
- 4 ¿Quién está obligado a cumplir dicha Ley?
- 5 Ley de protección de datos en el BOE ¿Dónde puedes encontrarla?
- 6 Nueva ley orgánica de protección de datos ¿Existe en la actualidad?
- 7 ¿Qué podemos encontrar de forma general en la LOPD?
- 8 ¿Porqué es importante conocer la ley de protección de datos?
- 9 ¿Qué son los datos de carácter personal?
- 10 ¿Qué ejemplos pueden ser datos de carácter personal?
- 11 ¿Qué son los derechos ARCO en la LOPD?
- 12 Sanciones en protección de datos
- 13 ¿Qué son las medidas de seguridad en la protección de datos?
- 14 Protección de datos en empresas
- 15 Inscripción de fichero en la agencia de protección de datos
- 16 LOPD frente al nuevo RGPD
Ley de Protección de Datos ¿Qué es?
También conocida por sus siglas LOPD se deja claro que toda persona que se encuentre bajo la jurisdicción española deberá respetar la conocida Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal cuyo objetivo primordial tal y como se incluye en dicha ley da como significado:
“Garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar. “
¿Es la Agencia Española de protección de datos (AEPD) el organismo que regula la LOPD?
Dada la extensión y casos en los que se puede aplicar, tras ponerse en ejecución se creó la Agencia Española de Protección de Datos cuyo objetivo es la de velar por el cumplimiento de esta ley en el ámbito estatal. Aunque dicha agencia no sólo se encarga de ello, si no que en cierta forma facilita su cumplimiento a través de unas guías elaboradas por dicho organismo facilitando su comprensión y que, personalmente, recomiendo a quien esté interesado que acceda a las que te interesen. Hay algunas muy interesantes como la existente “Guía para el Ciudadano” en la cual se pretende facilitar a las personas el conocimiento de dicha ley. También podremos encontrar información sobre normativas vigentes donde existen numerosos consejos sobre la videovigilancia o a su vez ¿recuerdas una vez que escribí sobre el “sharenting” en cuanto a subir fotografías de menores? Pues también podrás encontrar más información sobre la protección en menores.
¿Cómo está formada dicha ley de protección de datos?
Si nos dirigimos al contenido de su publicación, podemos encontrar que está compuesta por:
- Siete títulos
- Seis disposiciones adicionales
- Tres disposiciones transitorias
- Una disposición derogatoria única
- Tres disposiciones finales
¿Quién está obligado a cumplir dicha Ley?
Si nos ceñimos a lo que dicha ley dicta serán de aplicación:
A todas las personas, empresas y entidades públicas y privadas que utilicen cualquier tipo de dato personal en el desarrollo de sus actividades.
Ley de protección de datos en el BOE ¿Dónde puedes encontrarla?
Dicha ley se encuentra en el conocido BOE (Boletín Oficial del Estado). Concretamente podréis acceder a ella a través de este enlace para quien quiera indagar más.
Nueva ley orgánica de protección de datos ¿Existe en la actualidad?
Si te preguntas si ya existe una nueva ley orgánica de protección de datos con motivo del nuevo RGPD la respuesta es un claro sí, aunque en la terminación del artículo daré más detalles, el rgpd deroga la LOPD, pero existe un borrador (aún ni se encuentra vigente y tan ni siquiera ha sido publicado en el boe) que se encuentra en el anteproyecto de ley en el Consejo de Ministros.
Si te gustaría ver el borrador de la nueva ley puedes consultarlo haciendo en este enlace: nueva lopd
¿Qué podemos encontrar de forma general en la LOPD?
Entre la amplitud de diferentes aspectos señalaré a nivel general:
- Ámbito de aplicación
- ¿Cuáles son los datos especialmente protegidos?
- Todas las posibles infracciones y sanciones
- Consentimiento del afectado
- Seguridad de los datos
¿Porqué es importante conocer la ley de protección de datos?
En resumidas cuentas esta ley de protección de datos se encuentra muy presente en la actualidad. La cantidad de dispositivos electrónicos que existen en los cuales dejamos huella de nuestros datos, la numerosa información que dejamos en internet y en diferentes redes sociales y sitios webs y por supuesto, la seguridad de nuestra privacidad son los principios por los que deberemos de tener ciertas nociones básicas de dicha ley de protección de datos. En el próximo artículo hablaré de más aspectos que abarca entre otros más que puedan ser de interés.
En una pirámide, la base del comienzo serían los datos de carácter personal, es decir, esa información esencial por la cual esta ley los ampara y los protege. Así que es vital que conozcamos más sobre ellos.
¿Qué son los datos de carácter personal?
Este concepto es el que se encuentra protegido por la ley de protección de datos (LOPD) así como el Real Decreto 1720/2007, de 21 de diciembre:
Es aquella información que identifica de manera inequívoca a una persona física o que de forma indirecta se podría conocer su identidad.
Este derecho protege a un ciudadano o cualquier persona que se encuentra bajo la jurisdicción de dicha ley y le presta amparo para controlar su información personal, así como decidir sobre el uso que se hace de ella.
¿Qué ejemplos pueden ser datos de carácter personal?
Se puede deducir que si te muestran la fotografía de una persona y en ella puedes reconocerla sin duda ya puedes identificarla pero… ¿Un número de teléfono o un correo eletrónico se pudiera considerar como dato de carácter personal? La respuesta es afirmativa, es cierto que una persona puede usar un pseudónimo bajo un correo electrónico en el que no queda claro quién está detrás de ese correo o inclusive un número de teléfono son 9 cifras numéricas que no deja claro que se identifique a una persona pero para poder tener un número de teléfono o correo electrónico, una persona física previamente ha tenido que realizar un registro en el cual ha dejado constancia de sus datos personales tales como nombre, apellidos, fecha de nacimiento…
Ya conociendo lo anterior que explicaba para conocer si un dato identifica a una persona o no, os voy a proporcionar algunos ejemplos más:
- DNI
- Matrícula de un coche
- Nombre y apellidos de una persona.
- La dirección IP de vuestro ordenador.
¿Lo vais comprendiendo? Todos esos datos al identificar a una persona están protegidos bajo la LOPD y por ende, su tratamiento depende de dicha ley de protección de datos.
¿Qué son los derechos ARCO en la LOPD?
Mientras un dato se encuentre bajo la LOPD, tendremos ciertos derechos que nos permiten cierto control sobre ellos y estos derechos son los conocidos como derechos ARCO.
La sigla ARCO proviene de las palabras Acceso, Rectificación, Cancelación y Oposición y ello viene a mantener la potestad de poder ejercer dichos derechos bajo propia solicitud frente al organismo o cualquier otro en el que hayamos cedido nuestros datos.
Sanciones en protección de datos
El importe de la infracción cometida en base a la naturaleza de los derechos personales afectados depende de muchos factores como el volumen de datos afectados, daños y perjuicios causado a las personas afectadas… Es por ello por lo que existen tres tipos de sanciones: leves, graves y muy graves que a continuación se exponen.
Infracciones leves: Sanciones entre 601,01 € y 60.101,21 €
- No atender a las solicitudes de rectificación o cancelación.
- Recopilar datos personales sin informar previamente.
- No solicitar la inscripción del fichero en la Agencia Española de Protección de Datos (AEDP).
- No atender las consultas por parte de la AGPD.
Infracciones graves: Sanciones entre 60.101,21 € y 300.506,25 €
- Mantener datos inexactos o no efectuar las modificaciones solicitadas.
- Mantener los ficheros sin las debidas condiciones de seguridad.
- No inscribir los ficheros en la AGPD.
- Utilizar los ficheros con distinta finalidad con la se crearon.
- No tener el consentimiento del interesado para recabar sus datos personales.
- No seguir los principios y garantías de la LOPD.
- Tratar datos especialmente protegidos sin la autorización del afectado.
- No remitir a la AGPD las notificaciones previstas en la LOPD.
- No permitir el acceso a los ficheros.
Infracciones muy graves: Sanciones entre 300.506,25 € y 601.012,1 €
- Crear ficheros para almacenar datos que revelen datos especialmente protegidos.
- Recogida de datos de manera engañosa o fraudulenta.
- Recabar datos especialmente protegidos sin la autorización del afectado.
- No atender u obstaculizar de forma sistemática las solicitudes de cancelación o rectificación.
- Vulnerar el secreto sobre datos especialmente protegidos.
- La comunicación o cesión de datos cuando ésta no esté permitida.
- No cesar en el uso ilegítimo a petición de la AGPD.
- Tratar los datos de forma ilegítima o con menosprecio de principios y garantías que le sean de aplicación.
- No atender de forma sistemática los requerimientos de la AGPD.
- La transferencia temporal o definitiva de datos de carácter personal con destino a países sin nivel de protección equiparable o sin autorización.
¿Qué son las medidas de seguridad en la protección de datos?
La ley expone que no todos los datos tienen la misma necesidad de garantizar la confidencialidad e integridad de los datos protegidos. En función de lo sensible que sea el tipo de dato que recoja así pertenecerá a un nivel. Para ello, existen diferentes niveles de seguridad (son acumulativos) que podemos conocer como básico, medio y alto:
Nivel básico
Aplicable a datos identificativos y pueden ser algunos como los que hemos citado con anterioridad: DNI, teléfono, firma, sexo, nacionalidad…
Nivel medio
Relacionado con datos que hagan referencia a operaciones financieras, infracciones administrativas o penales, administraciones tributarias… Algunos ejemplos podrían ser datos de seguridad social, antecedentes penales, sanciones administrativas, currículums…
Nivel alto de seguridad
Es el nivel máximo de todos los niveles en los cuales hace referencia a datos que son especialmente protegidos como ideologías, afiliación sindical y política, religión y creencias, salud…
Protección de datos en empresas
La protección de datos es una ley que pese a la curva elevada de aprendizaje en conceptos deberá de cumplir una empresa. De hecho lo ideal es acudir en cualquier caso de desconocimiento como puede ser la inscripción de los ficheros en la AGPD o cualquier otro trámite a cualquier equipo de profesionales en el sector.
No hay que olvidar que deberemos de priorizar la formación en los trabajadores ya que ellos son el pilar básico y mediante cursos que la empresa pueda proporcionales serán más precavidos en su cumplimiento.
Inscripción de fichero en la agencia de protección de datos
El nuevo RGPD (Reglamento UE 2016/679) elimina la obligación de inscribir en los ficheros de datos personales en la Agencia de Protección de Datos y a pesar de que en la LOPD era imprescindible que se hiciera.
Sí que es cierto que el hacerlo nos podría servir como un ejercicio de seguridad más y nos valdría como herramienta, pero ya no es necesario inscribirlos.
LOPD frente al nuevo RGPD
Ya habéis conocido que la Ley de Protección de Datos nos protege en cuanto a la privacidad y seguridad de nuestros propios datos de carácter personal pero cabe destacar que esta actual ley se encuentra en plena modificación a nivel estatal ya que desde que el 25 de Mayo de 2018 entró en vigor la RGPD (Reglamento General de Protección de Datos) y por ende, cada estado deberá adaptar sus propios reglamentos internos con el fin de actualizar y evitar incompatibilidades entre sus leyes y el nuevo reglamento, es decir, RGPD-LOPD.
No quiero adentrarme mucho en esta LOPD ya que próximamente tendremos una nueva versión modificada que ya fue presentada en el anteproyecto de ley en el Consejo de Ministros con el nuevo texto para actualizar dicha ley como he comentado anteriormente.
Dado este vacío que existe entre la versión actual y el nuevo RGPD que ya está en vigor, es esta última la que se aplica sobre la LOPD mientras no esté presentada y aprobada la nueva lopd.
Más adelante os hablaré más acerca del RGPD y por supuesto en cuanto esté aprobado de la nueva LOPD que es la que nos concierne a todos en el territorio español.
