En esta primera entrega de nuestro especial sobre la LOPD, vamos a empezar a tratar los conceptos que se manejan en el Real Decreto 1720/2007 que desarrolla la ley. Explicarlos nos va a permitir entender mejor los casos prácticos que más adelante abordaremos.
Las definiciones que figuran en el artículo 5 del Real Decreto no son más que la explicación de lo que entiende el legislador que significan determinados términos como dato de carácter personal o encargado del tratamiento, por poner dos ejemplos.
En lugar de seguir el orden alfabético que marca el texto legal, hemos preferido agrupar estas definiciones por temáticas, por decirlo de alguna forma, explicando en cada entrega aquellas que tienen cierta relación entre sí.
Sin más preámbulos, entramos en materia con las distintas definiciones referidas a datos: de carácter personal, disociados y aquellos relacionados con la salud.
Definiciones referidas a datos
- Datos de carácter personal: cualquier información concerniente a personas físicas que o bien la identifiquen directamente o que permitan hacerlo. Este último sería el caso, por ejemplo de un fichero que sólo contuviera DNI, como comentamos hace unos días. Este dato no identifica a la persona por sí mismo, pero la hace fácilmente identificable, lo que hace que tenga al consideración de dato de carácter personal. Los datos pueden ser de cualquier tipo, una foto, un archivo de vídeo o sonido, numéricos, textos, etc.
Ejemplos de estos datos serían los pertenecientes a clientes si estos son personas, no empresas. Pero atención, también los ficheros con datos de trabajadores incluyen datos personales (algunos de ellos protegidos especialmente, como veremos más adelante), así como pueden contenerlos también los de empresas proveedoras/suministradoras o empresas que son clientes de la nuestra.
Así, aunque nuestros clientes sean exclusivamente sociedades no podemos descartar directamente la obligación de aplicar la ley sobre los ficheros que contengan datos sobre ellas, tenemos que analizar cuáles son esos datos y ver si alguno de ellos se considera dato personal
- Datos disociados: son aquellos datos que por sí mismos no permiten la identificación del afectado o interesado. Esto tiene su importancia cuando nos planteamos la posibilidad de ceder los datos, y os explico.
Imaginemos que tenemos una base de datos de clientes en la que en uno de sus ficheros, junto al nombre de cada cliente, aparece su teléfono, edad y sexo, por ejemplo, junto al dinero que se ha gastado en adquirir mis productos. Yo quiero que un tercero, otra empresa, me haga un estudio para averiguar quienes gastan más dinero en mi compañía, los hombres o las mujeres.
Bien, si yo le entrego a esta empresa el fichero con todos los datos, que identifican claramente a estos clientes, estoy realizando una cesión de datos, y si no tengo consentimiento previo de mis clientes, podría tener problemas por ello.
Sin embargo, para realizar el estudio únicamente necesitan el sexo y el dinero que se ha gastado cada persona, no su nombre ni otros datos. Si les entrego únicamente estos datos no estoy incurriendo en esa cesión que comentábamos, puesto que con estos datos no pueden identificar a mis clientes, son datos disociados.
- Datos de carácter personal relacionados con la salud: las informaciones que hacen referencia a la salud pasada, presente y futura, física y mental de una persona. Menciona en particular aquellos datos que hacen referencia al porcentaje de discapacidad o a la información genética.
¿Por que diferencia estos de los anteriores? Pues, entre otras cosas, por que considera estos datos como especialmente protegidos, lo que implica la obligación de aplicar unas medidas mucho más estrictas para su tratamiento (tema que abordaremos más adelante).
Podría parecer que en una pyme que no trabaje en el ámbito sanitario no se van a tratar este tipo de datos, pero no es una situación tan descabellada. Un ejemplo:
Tengo un fichero con el que gestiono los datos para elaborar las nóminas de los empleados de la empresa. Entre los datos que se incluyen en él están los datos fiscales que necesito para cumplimentar declaraciones (modelo 190), y entre ellos figura el grado de discapacidad del trabajador. Ya tenemos un fichero que contiene un dato especialmente protegido relacionado con la salud.
Aquí terminamos con la primera entrega de este especial. En la siguiente analizaremos las definiciones relacionadas con ficheros, automatizados, no automatizados y de titularidad pública o privada.
En Tecnología Pyme | LOPD: Guías prácticas y conceptos básicos
Evalua, comprueba tu grado de cumplimiento de la LOPD
Sistemas de videovigilancia y la Ley Ómnibus
Factura electrónica: aspectos legislativos
El software y la Ley de Protección de Datos
La garantía del software
Comentarios
Una serie de posts que tienen vista de resultar muy útiles, almenos para mi.
¿Cada cuanto pretendeis publicar estos posts?
Saludos!
Semanalmente Bogey.
Para empezar, agradezco vuestros esfuerzos con este blog.
Espero que si bien no es (al menos aún) una herramienta de consulta cuando surje una duda en PyME, ya que está en proceso de creación todavía, si sea una luz de aviso en cuanto a novedades se refiere, por lo cual creo que me va a ser muy útil.
En cuanto a la LOPD, ahora me ha surgido una incógnita. Segun veo en la LOPD habla de empresas. Nosotros tenemos una página web sin fines lucrativos, que alberga un grupo de gente con un hobby en particular pero no está constituido este grupo como nada: ni empresa, ni asociación, ni club... nada. Es solo una pagina web con un registro de usuarios para acceder a ella.
¿Cualquier simple pagina web con un registro de usuarios necesita cumplimentar algo conforme a la LOPD?
Bueno, esperare ansioso a proximas entregas sobre este tema, por si mi duda no se resuelve en los comentarios ;)
chewgammie, nosotros hablamos de empresas, por que en ellas se centra el blog :-), pero la LOPD se aplica tanto a empresas como a personas físicas. En cuanto a tu pregunta, pues sin más datos no sabría decirte. De todas formas la LOPD en su artículo 2 dice:
Parece que con esto hacen referencia a, por ejemplo, los datos que podamos tener en una agenda personal o algo similar, y quizá se podría considerar lo tuyo de la misma forma, pero no lo tengo claro del todo. Seguiré buscando a ver si encuentro algo más (me ha picado la curiosidad). Un saludo
Que tal de nuevo! gracias José por contestar tan rápido!
Te cuento, hablé a la AEPD y me dijeron que no, que siendo persona física puedo crear una página web y practicamente pedir la información que me de la gana, sin necesidad de agregar ningun fichero a la AEPD. Vamos, casi podría preguntar su historial médico, que no importa. Dicen que la LOPD aplica en un extremo a toda asociación, club, empresa... todo lo que esté constituído. En el otro extremo si aplica a personas físicas (y a asociaciones, clubs, empresas...). Yo le insisti que si estaban seguros y me dijeron que si.
Bueno, ahí queda eso. Y felicidades por el blog... me está gustando el ritmo que lleva.
Escribir un comentario
Para hacer un comentario tienes que identíficarte: ENTRA