Una nueva LOPD más amigable

El domingo 6 de marzo de 2011, entró en vigor la Ley 2/2011, de 4 de marzo, de Economía Sostenible, que en su disposición final quincuagésima sexta modifica la Ley Orgánica 15/1999 de 13 de diciembre, de Protección de Datos de Carácter Personal.

No se han modificado muchos artículos, aunque sí los más importantes, al menos así pensarán los profesionales y empresarios susceptibles de ser sancionados por incumplir alguno de los preceptos de esta normativa. Por ello, aunque la Ley siga siendo la misma, ha cambiado en gran manera su espíritu, acercándose de una manera más benévola a los posibles infractores, por lo que podría considerarse una nueva norma más amigable.

Uno de los cambios más destacable es el de la cuantía de las sanciones. Ahora, la cuantía mínima de las sanciones graves, que suponen casi el 75% de las impuestas por la Agencia Española de Protección de Datos, pasa de 60.101 a 40.001 €, una rebaja significativa en caso de ser sancionado. A su vez, la cuantía mínima de una sanción leve pasa de 601 a 900 €. No se establece cambio en las muy graves, que continúan en la horquilla de 300.001 a 600.000 €.

Otro aspecto que ha sido modificado es la graduación de las cuantías de las sanciones, es decir, si la sanción es la mínima permitida, o es incrementada hasta llegar al límite superior. Cabe destacar que se añade como criterio de graduación el volumen de negocio o actividad del infractor, no tenidos en cuenta anteriormente, lo que supondrá unas sanciones más adecuadas al concreto infractor que las realice.

También serán tenidos en cuenta, el carácter continuado de la infracción, el volumen de los tratamientos, la vinculación de la actividad del infractor con la realización de tratamientos de datos, los beneficios obtenidos con la infracción, el grado de intencionalidad, la reincidencia, la naturaleza de los perjuicios causados, la acreditación de que la infracción no es debida a una falta de diligencia del infractor, o cualquier otra circunstancia que sea relevante.

Se detalla con esta reforma la posibilidad de aplicar a una infracción la cuantía de la clase que le preceda en gravedad, permitiéndose cuando se aprecie una disminución de la culpabilidad o antijuridicidad como consecuencia de la concurrencia de varios de los criterios de graduación de las sanciones, cuando la entidad infractora haya regularizado la situación irregular de forma diligente, cuando pueda apreciarse que la conducta del afectado ha podido inducir a la comisión de la infracción, cuando el infractor haya reconocido espontáneamente su culpabilidad, o cuando se haya producido un proceso de fusión por absorción y la infracción fuese anterior a dicho proceso.

Igualmente, cambian y se reordenan la clasificación de los hechos que dan lugar a las sanciones leves, graves o muy graves, aclarando supuestos antes indefinidos, y rebajando de categoría algunos de los supuestos más habituales.

Son infracciones leves, no remitir a la Agencia Española de Protección de Datos las notificaciones previstas en la Ley, no solicitar la inscripción del fichero, el incumplimiento del deber de información al afectado cuando los datos sean recabados del mismo, y la transmisión de los datos a un encargado del tratamiento sin dar cumplimiento a los deberes formales exigidos mediante el contrato escrito de tratamiento por cuenta de terceros.

Son infracciones graves la creación o recogida de datos de ficheros de titularidad pública sin autorización de disposición general publicada en el diario oficial correspondiente; tratar datos sin recabar el consentimiento necesario de las personas afectadas; tratar datos o usarlos posteriormente con conculcación del principio de calidad, salvo que sea infracción muy grave; la vulneración del deber de guardar secreto; la obstaculización de los derechos de acceso, rectificación, cancelación y oposición; el incumplimiento del deber de información al afectado cuando los datos no hayan sido recabados del propio interesado; el incumplimiento de los deberes de notificación o requerimiento al afectado; mantener los ficheros, locales, programas o equipos sin las debidas condiciones de seguridad; no atender los requerimientos y peticiones de documentos e información de la Agencia Española de Protección de Datos; la obstrucción del ejercicio de su función inspectora; y la cesión de los datos sin legitimación para ello, salvo que sea infracción muy grave.

Por último, quizás el cambio más significativo e interesante para todos aquellos que tienen que cumplir esta normativa, es que la Agencia Española de Protección de Datos podrá no abrir un procedimiento sancionador, sino apercibir al infractor y exigirle que acredite la adopción de las medidas correctoras necesarias. Para esto, los hechos han de ser constitutivos de infracción leve o grave, y que el infractor no haya sido sancionado o apercibido con anterioridad. Una buena noticia para todos, que convierte una normativa con un excesivo afán recaudatorio en una norma que permite ayudar a quienes quieren respetar la privacidad de los ciudadanos.

PEDRO RODRÍGUEZ LÓPEZ DE LEMUS

ARTICULO COMPLETO PUBLICADO POR CIBERSUR

Hoteles y protección de datos

Los hoteles, en su día a día van recopilando una gran cantidad de datos de carácter personal de los clientes que se hospedan en sus instalaciones, es por ello que se encuentran sujetos a las obligaciones contenidas en la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal así como al Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba su Reglamento de desarrollo.

Esta normativa obliga a que desde un primer momento deban inscribir los ficheros correspondientes en el Registro de la Agencia Estatal de Protección de Datos, así como la creación de un Documento de Seguridad donde se incluirán las medidas de índole técnica y organizativa acorde a la normativa de seguridad vigente que será además de obligado cumplimiento para el personal con acceso a los datos de carácter personal.

En la relación con los clientes, la normativa les obliga a informarles previamente de modo expreso, preciso e inequívoco a la solicitud de datos personales de la existencia de un fichero, de su finalidad así como de los destinatarios de la información. Además deberán informar de la obligatoriedad o no de responder a las preguntas que les sean planteadas, de las consecuencias de la obtención de los datos o de la negativa a suministrarlos, de la posibilidad de ejercer los derechos de acceso, rectificación, cancelación y oposición así como de la identidad y dirección del responsable del tratamiento o, en su caso, de su representante. Para el ejercicio de los derechos de acceso, rectificación, cancelación y oposición el hotel debe facilitar la posibilidad de ejercer dichos derechos a través de un medio sencillo y gratuito y según los procedimientos establecidos en la Ley.

Cuando el hotel quiera hacer uso de los datos de carácter personal de un cliente para finalidades que no guarden relación directa con el mantenimiento, desarrollo o control de la relación contractual requerirá su consentimiento para ello y además deberá permitir al sujeto que manifieste expresamente su negativa, que podrá hacerse efectiva con la marcación de una casilla claramente visible y que no se encuentre ya marcada en el documento que se le entregue para la celebración del contrato o se establezca un procedimiento equivalente que le permita manifestar su negativa al tratamiento.

Así mismo será necesario el consentimiento del cliente cuando los datos de carácter personal objeto de tratamiento sean comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario, no siendo necesario cuando la cesión está autorizada en una Ley. Dichas autorizaciones se encuentran tanto en la Ley Orgánica 15/1999 como en el Convenio Shenguen con el que España se comprometió y que dispone una habilitación legal expresa. Ambas normativas vienen a decir que dicho consentimiento para la cesión de los datos de carácter personal no será necesario cuando sea requerido por las Fuerzas y Cuerpos de la Seguridad. En este sentido, es de señalar la Orden INT/1922/2003, de 3 de julio, sobre libros-registro y partes de entrada de viajeros en establecimientos de hostelería y otros análogos, que viene a desarrollar la Ley Orgánica 1/1992, de 21 de febrero sobre Protección de Seguridad Ciudadana donde se exige a quienes desempeñen actividades de hospedaje llevar a cabo actuaciones de registro documental e información previstas en la normativa vigente que son la de cumplimentar un libro-registro y un parte de entrada de viajeros y presentarlos o remitirlos a las correspondientes Comisarías de Policía o Puestos de la Guardia Civil.

Teniéndose en cuenta que corresponde al hotel la prueba de la existencia del consentimiento del afectado lo más recomendable es que ésta sea recogida en formato papel, para poder ser utilizada en futuras reclamaciones.

En cuanto al incumplimiento de lo dispuesto en la Ley Orgánica de Protección de Datos se vienen diferenciado las infracciones en función del tipo de gravedad en leves, graves y muy graves, graduando su correspondiente sanción pecuniaria en función del tipo cometido. Las cuantías por las que se sancionan han sido recientemente modificadas con la entrada en vigor de la Ley 2/2011 de Economía Sostenible reduciendo el mínimo de las cuantías de las sanciones que oscilan entre los 900 y 600.000 euros e incluyendo una nueva figura de apercibimiento previo para aquellos que cometan una infracción leve o grave y sean infractores primarios.

Rocío Camacho Sepúlveda