Las facilidades en la gestión de datos que las tecnologías de la información y la comunicación nos han traído han multiplicado la eficiencia en la gestión de todo tipo de organizaciones. Empresas, instituciones, asociaciones, partidos políticos, sindicatos y cualquier otro tipo de organización se benefician de las herramientas que facilitan la creación de bases de datos y su utilización para la consecución de los fines de cada entidad.
Pero la creación y la gestión de bases de datos personales entraña riesgos. Una utilización incorrecta de las bases de datos personales puede provocar que la organización infractora sea sujeto de un expediente sancionador a cargo de la Agencia Española de Protección de Datos.
La Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal, establece en su artículo 45 las sanciones que pueden aplicarse a los distintos tipos de sanciones:
- Las infracciones leves serán sancionadas con multa de 900 a 40.000 euros.
- Las infracciones graves serán sancionadas con multa de 40.001 a 300.000 euros.
- Las infracciones muy graves serán sancionadas con multa de 300.001 a 600.000 euros.
No son sanciones de poca transcendencia. La sanción máxima puede llegar a los 600.000 euros, es decir, cien millones de pesetas.
Ante el riesgo de cometer infracciones en la gestión de datos personales, empresas y organizaciones deben extremar las cautelas.
Existen empresas que pueden evaluar las medidas de seguridad aplicadas en la gestión de datos, elaborando un dictamen y aconsejando las medidas a aplicar en cada caso para no correr riesgos, o al menos minimizarlos.
La evaluación de riesgos y la aplición de medidas de seguridad en la gestión de datos personales es una de las especializaciones de VS COM.
Pero, además de la conveniencia de realizar una evaluación experta, las empresas y las organizaciones deben tener unas nociones mínimas en la materia. A tal fin se dedica el presente texto.
La Ley Orgánica de Protección de Datos de Carácter Personal
La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal establece unas estrictas condiciones para la creación, mantenimiento y uso de las bases de datos. Desde el inicio del año 2000, el tratamiento de datos personales se ha de realizar, en España, con una enorme cautela para no incurrir en una infracción sancionable en vía administrativa.
La citada ley orgánica define como datos de carácter personal “cualquier información concerniente a personas físicas identificadas o identificables”.
Los datos de carácter personal están muy protegidos, de manera que incluso la voluntad de crear un listado de personas con sus direcciones de correo electrónico, teléfonos y otros datos de identificación y localización debe ser comunicada a la Agencia Española de Protección de Datos.
El responsable de un fichero o tratamiento es “la persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento”, tal como establece el artículo 3 de la ley orgánica. El encargado de la base de datos es la persona, física o jurídica, que se ocupa del mantenimiento del fichero.
La ley obliga a comunicar a la Agencia Española de Protección de Datos quién es la persona física responsable del mantenimiento y la custodia de la base. Hasta tal punto llegan las cautelas legales, que también se ha de comunicar dónde está ubicado el ordenador que contiene los datos, para el caso de bases de datos electrónicas.
Una vez creado el fichero, los datos deben ser custodiados, sin posibilidad de transferencia no autorizada a terceros y sin realizar usos distintos de aquellos para los que fue creado. Además, la persona incluida en el fichero tiene el derecho de conocer la inclusión y los datos personales que se recogen; tiene derecho a rectificar los datos contenidos en el fichero, y tiene derecho a ser eliminado del fichero. Los datos sólo pueden utilizarse para la finalidad declarada.
El responsable de un fichero de datos personales está obligado a adoptar las medidas necesarias para garantizar la seguridad de la base, custodiarla y mantener el secreto profesional. No se deben facilitar o revelar a terceros, bajo ningún concepto, datos obrantes en el fichero; ni tan siquiera a las personas físicas o jurídicas que, con datos, formen parte de dicho fichero. De hecho, los datos sólo pueden ser comunicados a un tercero para el cumplimiento de los fines del fichero y con el consentimiento de los afectados. Ante cualquier duda en relación con lo que acabamos de expresar, se debe consultar con servicios jurídicos especializados.
Esta estricta legislación protege a la ciudadanía de intromisiones no deseadas en su ámbito íntimo y personal.
Todo lo anterior tiene excepciones relacionadas con la seguridad del Estado, la utilización de datos a efectos estadísticos o históricos y los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas. Excepciones, todas ellas, que no afectan a las finalidades de empresas u organizaciones ni, por tanto, al contenido de estas líneas.
El uso del correo electrónico
El envío de correos electrónicos se ha convertido en una herramienta fundamental para la distribución de informaciones. De acuerdo con la normativa legal, el envío de comunicados, boletines, informes, convocatorias y cualquier otro material, se realiza, obviamente, a partir de la existencia de un fichero de datos personales que contiene la dirección de e-mail de las personas destinatarias. En nuestros envíos, debemos incluir siempre, de manera muy clara y comprensible, un aviso sobre la inclusión del destinatario en una base de datos, con mención explícita a los derechos de los destinatarios en cuanto a acceso, rectificación, cancelación y oposición en relación con los datos almacenados en la base de datos. Y la base de datos, lógicamente, debe estar legalmente registrada.
Por otra parte, es necesario ser muy cauteloso en el uso cotidiano del correo electrónico. Un envío a diversos destinatarios puede provocar la comunicación involuntaria a terceros de algunos datos de dichos destinatarios. Por tanto, hay que ser extremadamente cuidadoso y no incluir nunca relaciones de correos electrónicos en el casillero denominado “CO” de los programas de correo. Siempre hay que incluir las relaciones de e-mail en el casillero “CCO”, mediante el cual la dirección de cada destinatario queda oculta para los demás.
Acabamos este apartado señalando que podemos cumplir buena parte de las obligaciones más importantes que nos impone la ley orgánica con la simple inclusión de un aviso legal al pie de todos nuestros correos electrónicos.
Datos protegidos
En cuanto a los datos personales protegidos, son estos, entre otros: el nombre, los apellidos, la fecha de nacimiento, la dirección postal o la dirección de correo electrónico, el número de teléfono, el número de identificación fiscal, la huella digital, el ADN, una fotografía o el número de seguridad social.
Hay, básicamente, dos niveles de protección de los datos personales. Están especialmente protegidos, de acuerdo con el artículo 7 de la ley orgánica 15/1999, los datos de ideología, religión, creencias y afiliación sindical, para cuya recopilación se requiere el consentimiento escrito, y los relativos a la salud, el origen racial y la vida sexual, para los que se requiere consentimiento expreso, aunque no necesariamente escrito.
El segundo nivel de protección, atenuado, afecta a los datos no expresados en el párrafo anterior, entre los cuales están domicilio postal, teléfono y correo electrónico. En el caso de este segundo nivel de protección menos acentuada, basta disponer el consentimiento tácito de la persona para la inscripción y conservación de sus datos. En todo caso, para que opere este consentimiento tácito, hay que otorgar al afectado un plazo de 30 días para que manifieste, si lo desea, su oposición a la inscripción de sus datos.
Datos de afiliados a organizaciones
Hay una excepción importante a lo recién dicho. El artículo 7.2 de la ley orgánica establece que “se exceptúan” del consentimiento expreso y por escrito del afectado “los ficheros mantenidos por los partidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y otras entidades sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, en cuanto a los datos relativos a sus asociados o miembros, sin perjuicio de que la cesión de dichos datos precisará siempre el previo consentimiento del afectado”.
Por tanto, las organizaciones incluidas en los ámbitos señalados en el párrafo anterior pueden mantener ficheros de datos de sus afiliados y afiliadas sin consentimiento expreso y escrito, pero es muy conveniente someter los datos a un proceso de oferta de oposición al consentimiento tácito. Hay que tener presente, no obstante, que si bien contra los derechos de acceso y rectificación de datos por parte de los afiliados a una de las organizaciones de los tipos reseñados no hay oposición posible, si está muy atenuado su derecho a la cancelación de datos básicos, si no es por causa de su baja como afiliados. No se entiende que se pueda mantener una afiliación sin su registro en una base de datos. Esta oferta de cancelación de datos se cumple sobradamente con la inclusión del aviso legal propuesto arriba.
Otra cuestión es la relativa a la posibilidad de oposición del afiliado o afiliada a la organización al uso de su correo electrónico para la recepción de información de ésta. Aunque no será nunca, previsiblemente, una situación general, ni tan siquiera habitual, si un afiliado o afiliada una de las organizaciones enumeradas manifiesta expresamente su oposición a recibir información, o de una forma más parcial, su oposición a recibir información por correo electrónico, se deberá restringir esta opción en sus datos personales que obren en la base de datos.
Datos de personas ajenas a la organización
Dado que los ficheros que vamos a crear van a tener fundamentalmente la utilidad de dirigirnos electrónicamente no sólo a afiliados o socios, sino también a otras personas de una empresa u organización y, en ocasiones, también a los medios de comunicación, conviene seguir algunos principios para cumplir la legislación en la incorporación y uso de datos de personas físicas y jurídicas ajenas a la organización.
De entrada, para no requerir el consentimiento escrito o expreso, debemos abstenernos de incluir en los ficheros los datos personales dotados de una especial protección, y que ya se han relacionado anteriormente: ideología, religión, creencias, afiliación sindical, los relativos a la salud, el origen racial y la vida sexual.
Para el resto de los datos, que son los que fundamentalmente podemos, razonablemente, necesitar (nombre y apellidos, dirección postal, dirección de correo electrónico, teléfono, profesión y empresa) nos va a bastar disponer del consentimiento tácito, que vamos a obtener en treinta días a partir del primer envío del aviso legal propuesto.
Para tener constancia de dicho consentimiento tácito hay que conservar el primer correo electrónico enviado a cada destinatario conteniendo una mención al artículo 7 de la LO 15/1999.
También nos interesa saber cómo podemos obtener lícitamente los datos a incorporar a nuestra base de datos. Dado que no vamos a trabajar con datos especialmente protegidos, y que vamos a recabar el consentimiento tácito en la forma antes propuesta, podemos obtener los datos que necesitamos:
- Por comunicación directa de la persona a incluir en la base de datos, tanto verbal como escrita.
- Por consulta de fuentes documentales de acceso público.
Reiteramos que con la primera utilización de cada correo electrónico incluido en la base de datos hay que recabar, mediante el propuesto aviso legal, el consentimiento tácito antes aludido.
La ley orgánica establece un principio de proporcionalidad: es legítimo recopilar y conservar los datos que razonablemente sean necesarios para cumplir la finalidad del fichero. Es decir, el registro legal y el mantenimiento de un fichero no autoriza para recopilar datos de una manera excesiva e innecesaria para cumplir la finalidad. El fichero no puede convertirse en la base de datos de la CIA o del Ministerio del Interior. Hay que mantener las bases actualizadas y cancelar los datos cuando ya no son necesarios. Pero, alerta, cancelar no es borrar. Hay que conservar los datos que se han mantenido en la base de datos
El registro de la base de datos
Una vez hemos considerado todo lo anterior, y estamos en disposición de aplicarlo, ya estamos preparados para registrar nuestra base de datos.
El trámite es sencillo, aunque pueda convertirse en engorroso a la hora de cumplimentar los papeles. Se puede realizar la inscripción por correo, dirigiendo la documentación a la Agencia Española de Protección de Datos.
Ahora bien, lo más sencillo es realizar el registro telemáticamente, para lo cual basta acceder a la página de la AEPD, http://www.agpd.es , y seguir los pasos que en dicha página web se indican.
Tal como establece el artículo 26.5 de la ley orgánica, transcurrido un mes desde la presentación de la solicitud de inscripción sin que la Agencia de Protección de Datos hubiera resuelto sobre la misma, se entenderá inscrito el fichero automatizado a todos los efectos.
Recapitulación
Dicho todo lo anterior, vamos a hacer ahora una breve recapitulación de los pasos que debemos dar para disponer de una base de datos de calidad, tanto técnica como legal, para la difusión de nuestras informaciones:
- Diseñar la que será nuestra futura base de datos, de acuerdo con nuestras necesidades y la finalidad que tendrá el fichero.
- Previamente a su uso, notificar la creación de la base a la Agencia Española de Protección de Datos, informando sobre el tipo de datos que se van a almacenar, a efectos de su inscripción en el Registro General de Protección de Datos. También se deben comunicar los cambios respecto a la inscripción inicial y cuando cese el uso del fichero. Transcurrido un mes desde la notificación, la base está registrada y se puede utilizar.
- Dotar de datos a la base.
- Mantener permanentemente la calidad de la base de datos, con las modificaciones de datos que se nos comuniquen o las cancelaciones que se nos tramiten.
- Utilizar la base de datos de acuerdo con su finalidad, teniendo especial cuidado en no transferir o revelar datos personales a terceros, enviando siempre los correos electrónicos ubicando las direcciones en la casilla “CCO”.
Para resolver dudas y realizar los trámites de alta, mantenimiento y utilización de la base, recomendamos consultar la página web de la Agencia Española de Protección de Datos. Y como ya hemos señalado, desde VS COM podemos ocuparnos de todas las gestiones y de la evaluación de la calidad y la legalidad de las bases de datos.