1.- Inscripción de los ficheros de que se disponga, y que contengan datos de carácter personal, en la Agencia de Protección de Datos.
2.- Información al interesado, como titular de sus datos, de la existencia del fichero y su finalidad.
3.- Adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos.
4.- Creación de un Documento de Seguridad a través del cual se elaborará e implantará la normativa de seguridad. Este documento es de obligado cumplimiento para el personal con acceso a los datos de carácter personal y a los sistemas de información.
5.- Información al personal de las normas de seguridad y consecuencias de su incumplimiento.
6.- Obligatoriedad de que conste por escrito el encargo del tratamiento de los datos a un tercero (una Asesoría, por ejemplo) y que se acuerden las medidas de seguridad que en este caso la Asesoría ha de cumplir.
7.- Prohibición de comunicar o ceder los datos personales a un tercero sin consentimiento previo del interesado (por ej.: para envíos publicitarios u ofertas de terceros).
8.- Someter a una Auditoría interna o externa, al menos cada 2 años, que verifique el cumplimiento de la normativa de Protección de Datos.
Las Sanciones previstas para los casos de incumplimiento son lo suficientemente importantes como para tratar de cumplir estrictamente esta Ley de Protección de Datos. Así, el incumplimiento de los puntos 1 y 2 anteriores se sancionan con multa de 100.000,- ptas. a 10.000.000,- ptas.; el de los Puntos 3 y 4 con multa de 10.000.000,- ptas. a 50.000.000,- ptas.; el del punto 6 multa de 10.000.000,- ptas. para la Asesoría y de 50.000.000,- ptas. para la empresa; y el del punto 7 con multa de 50.000.000,- ptas. a 100.000.000,- ptas.
Este despacho considera inasumibles estos riesgos para cualquier empresa ya que, además, los problemas pueden venir de acciones que no son infrecuentes en su actividad diaria. Piénsese, por ejemplo, en un cliente persona física (o en su abogado) que haya quedado insatisfecho por nuestras ventas o prestaciones de servicios; o en un trabajador (o en su abogado) al que deseamos despedir o con el que tenemos cualquier problema laboral; o en un particular (o en su abogado) a quien hemos enviado publicidad sobre nuestros productos o servicios y no le informamos de dónde hemos obtenido sus datos, (si es que podemos hacerlo ya que podría constituir un reconocimiento de una infracción muy grave de nuestra empresa sancionable con multa de 50.000.000,- ptas. a 100.000.000,- ptas.). En todos estos casos, el cliente insatisfecho, el trabajador o el potencial cliente publicitado, no van a obtener un lucro personal de la sanción, pero sí PUEDEN CAUSAR UN PERJUICIO IRREPARABLE PARA LA EMPRESA con su denuncia ante la Agencia de Protección de Datos que se verá obligada a actuar.
El tratamiento de los datos acorde con la Ley Orgánica 15/1999 debe hacerse desde 14/01/2000 fecha en que entró en vigor y que sustituía a la anterior Ley Orgánica de 1992 que ya establecía obligaciones de registros y tratamientos similares a ésta. Las medidas de seguridad obligatorias a aplicar a los sistemas de información de las empresas que se encontraban en funcionamiento el 26/06/1999, fecha en que entró en vigor el Reglamento de Medidas de Seguridad, deberían haberse implantado en:
– Las de nivel básico (todas las empresas) ________ el 26/12/1999.
– Las de nivel medio (empresas de serv. financieros)_el 26/06/2000.
– Las de nivel alto (empresas con empleados, o que
traten datos de
afiliación sindical o de salud, clínicas, médicos, asociaciones
políticas, etc.) __________________________________ el 26/06/2002.
Las empresas creadas después del 26/06/1999 deben cumplir con toda esta normativa desde el inicio de su actividad.
Conscientes de la transcendencia que esta normativa tiene, este Despacho dispone de un Departamento especializado en Protección de Datos que puede ayudarles a cumplir de una forma sencilla y eficaz sus obligaciones empresariales en esta materia y cubrirse así del alto riesgo que supone su incumplimiento.
Si su empresa es de las que en la actualidad cumple con la normativa de la que le informamos, (y no se cumple sólo con la inscripción de ficheros y con colocar en una estantería el Documento de Seguridad), le damos la enhorabuena anticipada ya que constituye una excepción, dentro del inexplicable incumplimiento generalizado que se está produciendo, y habrá eliminado los importantes riesgos aquí expuestos ya que la Agencia de Protección de Datos viene actuando desde 1993 y aplica las sanciones que proceda a las empresas infractoras de la normativa por cuyo cumplimiento ha de velar. Aun así, les recordamos que el 26/06/2002 finalizó el plazo para que los ficheros a los que hay que aplicar medidas de seguridad de nivel medio se sometan a la primera Auditoría interna o externa que cada 2 años ha de realizarse para que verifique el cumplimiento del Reglamento de Medidas de Seguridad, y de los procedimientos e instrucciones vigentes en materia de seguridad de datos, para lo que también nos ponemos a su disposición, si lo creyera necesario para su organización.
NOTA: Los importes de las sanciones figuran en Pesetas, tal y como figura en la normativa que las creó, con el fin de que calibremos mejor el impacto que podrían tener en la economía de nuestras empresas y evitar así el efecto reductor de las cifras que genera la aplicación del Euro.