Post on 19-Feb-2016
description
CURSO LOPD 1
8. Las obligaciones en materia de
protección de datos
1. Introducción
La LOPD ha convertido el derecho a la protección de los datos carácter personal en un
derecho fundamental de las personas, derecho que guarda una estrecha relación con el
derecho a la intimidad y al honor recogido en el artículo 18 de la Constitución Española.
Este derecho adopta la denominación de autodeterminación informativa, protegiendo el
“control que cada una de las personas les corresponde sobre la información que les
concierne personalmente, sea íntima o no, para preservar el libre desarrollo de su
personalidad".
Esta Ley Orgánica establece una serie de obligaciones en aras a la protección de los
datos personales contenidos en los ficheros o tratamientos.
Sin embargo, antes de iniciar el desarrollo de las principales obligaciones de las
empresas, profesionales y demás entidades públicas y privadas en la materia, conviene
resaltar, en primer lugar, la titularidad de dichas responsabilidades.
De este modo se configura el denominado como "responsable del fichero o
tratamiento", que es pues la persona que decide qué, quién, cómo, cuándo y dónde se
va a llevar a cabo el tratamiento de los datos personales y que al mismo tiempo,
responde administrativa, civil e, incluso penalmente, de las posibles infracciones que en
relación a las obligaciones derivadas del tratamiento de los datos personales puedan
cometerse.
También es importante determinar la naturaleza pública o privada del titular del
fichero, ya que según la misma se va a determinar la naturaleza pública o privada de los
ficheros de los que son responsables, puesto que el régimen jurídico en uno y otro caso
presenta sus propias particularidades.
En relación a la titularidad de estas obligaciones, mencionar que una de las
modificaciones más importantes que se ha introducido con la LOPD en relación a la
derogada LORTAD, ha sido la configuración del denominado como "encargado del
CURSO LOPD 2
tratamiento", el cual asume plenamente las disposiciones de la Ley y su cumplimiento,
de tal modo que queda vinculado a las todas las obligaciones legales, igual que el
responsable del tratamiento, por lo que se le podrán exigir responsabilidades por las
infracciones cometidas en la materia, con los mismos efectos y en los mismos términos
que at responsable del fichero.
En concreto, la LOPD regula esta figura en su artículo 12 relativo al acceso de datos
por cuenta de terceros, estableciendo las siguientes obligaciones para el encargado del
tratamiento:
- La realización de tratamientos por terceros debe estar regulada por un contrato
(conocido como de outsourcing) que deberá constar por escrito o en alguna otra forma
que permita acreditar su celebración o contenido.
- El encargado del tratamiento solo tratará los datos según las instrucciones del
responsable.
- Este no los aplicará o utilizará con fines distintos, ni los comunicará a terceros, ni
siquiera para su conservación.
- El contrato contendrá las medidas de seguridad que deben observarse en el
tratamiento de los datos, tanto por el responsable del fichero, como por el encargado.
- Será considerado también responsable del tratamiento y por ello responderá de las
infracciones en que hubiera incurrido personalmente cuando destine los datos a otra
finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato
(también deberá indemnizar por los daños y perjuicios ocasionados como consecuencia
de su actuación).
A su vez en el artículo 43.1 de la LOPD se establece que el encargado del tratamiento
"estará sujeto al régimen sancionador establecido en la esta Ley".
Otra figura que se cita en relación a la protección de datos, pero en este caso en el
Reglamento de Medidas de Seguridad es el "responsable de seguridad", cuya finalidad
es la de controlar/ coordinar el cumplimiento de las medidas de seguridad, pero al que, a
diferencia del encargado del tratamiento, se exime de toda responsabilidad,
correspondiendo la misma at responsable del tratamiento. Se trata pues, de una figura
que no decide sobre determinados aspectos relacionados con la seguridad, sino que
CURSO LOPD 3
evalúa y valora la situación de la seguridad de los sistemas y los datos, pero
correspondiendo siempre la decisión final al propio responsable del tratamiento.
Después de este inciso aclaratorio, se van a citar las principales obligaciones impuestas
por la LOPD que se pueden resumir a grandes rasgos como se indica en la siguiente
tabla:
Obligaciones
Legalización
Todos los ficheros de datos de carácter personal deberán estar inscritos
y legalizados ante la AEPD.
Legitimación Todos los datos de carácter personal recogidos por la organización han
de cumplir con los "Principios básicos" y con los "Derechos de las
personas".
Protección
Se han de adoptar las medidas de seguridad que garanticen la seguridad
de los datos de carácter personal, las cuales se relacionan en la LOPD y
el Reglamento de Medidas de Seguridad en base al nivel de seguridad
exigible, así como llevar a cabo la redacción del Documento de
Seguridad (el cual recogerá todas las medidas de seguridad adoptadas) y
la redacción de los contratos y las cláusulas de seguridad necesarias
para la recogida de los datos, tratamientos pro terceros y cesiones de
datos.
Gestión
Es muy importante que se lleve a cabo una adecuada implantación de la
protección de datos, para lo cual va a ser necesaria, entre otras, la
formulación de una política de privacidad y la adecuada concienciación
y formación del personal en la materia.
La gran mayoría de estas responsabilidades han sido ya tratadas con un mayor
detenimiento en anteriores módulos, por lo que algunas de ellas sólo se comentarán
brevemente
CURSO LOPD 4
A su vez, conviene indicar que muchas de las obligaciones indicadas se convierten en
auténticos derechos cuyo cumplimiento, por tanto, puede reclamar el interesado o
afectado como garantías previstas para lograr su privacidad.
Por último, señalar que el cumplimiento de estas obligaciones tan sólo exige un
pequeño esfuerzo por parte de las empresas, profesionales y demás entidades privadas y
públicas, que de este modo evitarán la imposición de duras sanciones económicas, así
como grandes ventajas de tipo competitivo.
2. Legalización
Dentro de las obligaciones establecidas en la LOPD, se incluye la de legalizar los
ficheros de tratamiento de datos de carácter personal de los que se es responsable, pero
para llevar a cabo la misma es necesario primero llevar a cabo una adecuada
identificación de todos los ficheros preexistentes, en segundo lugar, la determinación de
los ficheros sobre los que existe la obligación legal de notificación a inscripción
(legalización), tanto de los preexistentes como de los nuevos y, por último, llevar a cabo
la misma.
En los siguientes apartados se comenta con mayor detalle cada uno de estos puntos,
aunque el último, relativo a la notificación e inscripción registral se hará de forma breve
al haber sido desarrollado en el modulo 5 y 6 del presente curso.
2.1 Identificación y determinación de los ficheros
Previamente a la notificación e inscripción de los ficheros es necesario localizar los
ficheros existentes en la empresa o entidad, analizando la finalidad para la que son
tratados los datos, el origen de los datos, el sistema de almacenamiento de los mismos,
etc. y con esta información realizar un inventario de todos los ficheros preexistentes.
Para ello es conveniente recordar lo que la LOPD entiende por fichero: "todo conjunto
organizado de datos de carácter personal, cualquiera que sea la forma o modalidad de
su creación, almacenamiento, organización y acceso". Según la misma, se considerará
fichero a aquel conjunto de datos personales que estén organizados de una manera
CURSO LOPD 5
lógica, de modo que se pueda tratarlos con determinadas finalidades, con independencia
de los criterios empleados para su organización, de la aplicación que se haya empleado
para crear dicho fichero y de los criterios de búsqueda y acceso a dichos datos.
Para la realización de dicho inventario es necesario estudiar básicamente la siguiente
información:
Departamentos afectados que por su actividad traten datos de carácter personal
(Recursos. humanos, Marketing, financiero, etc.)
Origen de los datos tratados.
Finalidad del tratamiento.
Datos recabados para cada finalidad.
Tratamientos realizados.
Una vez que hemos realizado esta localización se debe proceder a agrupar los ficheros,
normalmente en base a:
- Su finalidad (siempre ha de ser una finalidad compatible)
- Determinación del nivel de seguridad (al agruparlos hay que mantener el nivel de
seguridad del fichero que tenga el nivel de seguridad más alto)
- Transferencias internacionales de datos, etc.
Con esta agrupación al final nos han de quedar ficheros de tal modo que contengan el
mismo tipo de datos y que sean tratados para una misma finalidad o finalidades
compatibles.
CURSO LOPD 6
2.2. Notificación e inscripción registral
Se establece la obligación de inscribir los ficheros con datos de carácter personal en el
Registro General de la Protección de Datos (en adelante RGPD) según el artículo 26 de
la LOPD y artículos 5 y 6 del Real Decreto 1332/1994, de 20 de junio.
En el artículo 26.1 de la LOPD se establece como norma general que "toda persona o
entidad que proceda a la creación de ficheros de datos de carácter personal lo
notificará previamente a la Agencia Española de Protección de Datos". Según esto, es
un requisito imprescindible para la creación de nuevos ficheros la previa inscripción en
el Registro de la AEPD.
Como el objeto, principios y procedimiento de notificación, inscripción, modificación y
supresión de ficheros ya se han comentado en anteriores módulos, tanto para los
ficheros de titularidad pública como privada, no se volverán a repetir.
En lo referente a las obligaciones del titular del fichero en esta materia, ya sea el fichero
de titularidad pública, ya sea de titularidad privada, pesa el deber de inscripción del
mismo, teniendo dicha inscripción un carácter meramente declarativo, pero en ningún
caso implica una valoración o fiscalización de la información que se facilita por parte de
la AEPD, por lo que con el registro no se obtiene ninguna declaración respecto de la
legalidad del tratamiento ni implica una exención de responsabilidad. Sin embargo, en
base a la titularidad del fichero, la inscripción del mismo y el alcance de este deber va a
variar, debiéndose distinguir:
- Ficheros de titularidad privada: Siempre se inscriben en el Registro General de la
Protección de Datos (RGPD), dependiente de la Agencia Española de Protección de
Datos.
- Ficheros de titularidad pública: En este caso hay que distinguir si son ficheros
titularidad de Administraciones públicas estatales, en cuyo caso la inscripción deberá
realizarse solo en el RGPD, o si los ficheros corresponden a Administraciones
autonómicas y locales, en cuyo caso deberán inscribirse ademes en los registros creados
a estos efectos por los Órganos correspondientes de las Comunidades Autónomas,
siempre que hayan sido creados (hasta la fecha, solo han sido constituidas la Agenda de
la Comunidad Autónoma de Madrid, de Cataluña y del País Vasco).
CURSO LOPD 7
3. Legitimación
En este apartado se muestran las obligaciones en materia de protección de datos para
garantizar los principios besicos y los derechos de las personas en materia de protección
de datos.
Como estos dos aspectos (los derechos de las personas y los principios en la materia) ya
han sido comentados con anterioridad, en los siguientes apartados se desarrollaren solo
los aspectos más relevantes de estas responsabilidades para no caer en repeticiones
innecesarias.
3.1 Calidad de los datos
La calidad de los datos hace referencia a que éstos son recogidos para una concrete
finalidad o finalidades compatibles, por lo que no podrán ser destinados por el
responsable del fichero a finalidades incompatibles. La finalidad también nos permite
reconocer qué fichero es al que deben dirigirse los interesados para ejercitar algunos de
los derechos que tienen reconocidos por la Ley: Los derechos de acceso, rectificación,
cancelación y oposición.
Al principio de calidad y contenido de los datos que nos son solicitados responde pues
el deber de dar información previa a la recogida de los mismos.
Según el artículo 4 de la LOPD es muy importante para todas las empresas o entidades
que los datos que tratan y almacenan se encuentren actualizados; la no actualización de
los datos puede suponer costes económicos importantes ya que disminuye la eficacia en
la toma de decisiones, acciones comerciales, nuevos productos o, simplemente, para el
seguimiento/ mantenimiento de relaciones contractuales.
La Ley establece unos principios generales de calidad tendentes a garantizar un uso
adecuado de los datos, determinando básicamente que los datos personales:
CURSO LOPD 8
Deben adecuarse a la finalidad para la que fueron recabados o a
finalidades compatibles
Significa que los datos sólo se podrán recoger para su tratamiento, así como someterlos
a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con
el ámbito y las finalidades determinadas, explícitas y legítimas para los que se hayan
obtenido.
La adecuación de los datos se relaciona expresamente con las finalidades para las que se
han recabado los datos, por lo tanto, si las finalidades del tratamiento cambian, los datos
deberán ser cancelados. Por ejemplo, si recogemos datos para la participación en un
concurso, dichos datos no los podremos destinar luego a finalidades distintas o
incompatibles, como podría ser la prospección comercial.
Por ello, es importante que a la hora de recoger los datos se determinen en las cláusulas
de información todas las finalidades a las que se van a destinar los datos.
Un ejemplo de la información a proporcionar al interesado, a través de una Cláusula
incluida en un formulario de recogida de datos, podría ser la siguiente:
"De conformidad con la LOPD y a través de la cumplimentación del presente
formulario, usted presta su consentimiento para el tratamiento de sus datos personales
facilitados, que serán incorporados al fichero "XXXXXXX; titularidad de la Empresa
"XXX'; inscrito en el Registro XXXXX'; cuya finalidad es la gestión fiscal, contable y
administrativa de la relación contractual, así como el envío de información comercial
sobre nuestros productos y servicios"
"Igualmente le informamos que podrá ejercer los derechos de acceso, rectificación,
cancelación y oposición establecidos en dicha LOPD a través de carta certificada,
adjuntando fotocopia de su DNI/Pasaporte, en la siguiente dirección: Empresa “XXX”
"Departamento de "Atención al Cliente". Calle "XXXXXX" n° 'X" Código postal
"XXXXX” de "X".
Deben ser exactos y actualizados
Lo cual indica que los datos tienen que ser exactos y puestos al día de forma que
respondan con veracidad a la situación actual del interesado. Ello no significa que las
CURSO LOPD 9
empresas deban mantener exactos los datos cuando no dispongan de medios para
conocer la exactitud/veracidad de los datos, pero, en el momento en que tienen
conocimiento de la inexactitud de un dato, deben proceder a actualizarlo.
Así, la corrección/actualización de los datos tratados puede realizarse:
- Por el responsable del fichero de oficio, cuando conozca dicha inexactitud.
- Por el propio interesado a través del ejercicio del derecho de rectificación de los datos.
En cuanto a datos recabados de fuentes accesibles al público (repertorios telefónicos,
boletines oficiales, etc.) se mantiene esta obligación de exactitud y veracidad; sin
embargo, conviene indicar que no es obligación del responsable del fichero comprobar
si los datos publicados en dichas fuentes son exactos o inexactos, aunque si se conociese
dicha inexactitud debe procederse a la actualización.
No deben mantenerse indefinidamente sin justificación
El articulo 4.5 dispone que "Los datos de carácter personal ser6n cancelados cuando
hayan dejado de ser necesarios o pertinentes para la finalidad pare la cual hubieren
sido recabados a registrados".
Así, la conexión entre los datos y la finalidad que motivó producirá directamente por el
responsable del fichero en el momento en que el dato no sea necesario, sin perjuicio de
la posibilidad que tiene el afectado de ejercer el derecho de cancelación.
En el caso de que alguna obligación legal establezca la necesidad de conservar los datos
una vez concluida la finalidad que motive) su recogida, el responsable del fichero podrá
conservar los datos a través del bloqueo del dato o previo proceso de disociación.
Recordemos en qué consisten estos dos procesos:
- El bloqueo de los datos. La LOPD establece en el artículo 16.3. que "La cancelación
dará lugar al bloqueo de los datos, conservándose únicamente a disposición de las
Administraciones Públicas, Jueces y Tribunales, para la atención de las posibles
responsabilidades nacidas de/tratamiento, durante la prescripción de éstas. Cumplido
el citado plazo deberá procederse a su supresión". A su vez el artículo 16.5. establece
que "Los datos de carácter personal deberán ser conservados durante los plazos
CURSO LOPD 10
previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales
entre la persona o entidad responsable del tratamiento y el interesado".
- Procedimiento de disociación. Se puede definir como todo tratamiento de datos
personales de modo que la información que se obtenga no pueda asociarse a persona
identificada o identificable. Aunque parece complicado, en la práctica se trata, en el
caso de ficheros automatizados, en la disociación de las tablas y campos que constituyen
el fichero, de manera que no sean relacionables los datos o informaciones obtenidas con
una persona identificada o identificable.
La utilización no abusiva de los datos impide que los datos se usen para finalidades
incompatibles o distintas con aquellas para las que hubiesen sido recogidos, si bien no
se considera incompatible el tratamiento posterior de éstos datos con fines históricos,
estadísticos o científicos, pero en este caso podrán ser utilizados y mantenidos siempre
que se conserven de forma anónima o a través del citado proceso de disociación.
Deben ser almacenados de tal forma que se permita el ejercicio del
derecho de acceso, salvo que sean legalmente cancelados
El derecho de acceso consiste en la facultad que tiene el afectado de solicitar y obtener,
de manera gratuita y en un plazo determinado, la información sobre sus datos sometidos
a tratamiento, las comunicaciones que se han realizado y las cesiones realizadas,
principalmente. Este derecho se ha desarrollado con más profundidad en el anterior
módulo.
Deben haber sido recogidos de forma lícita
Se prohíbe la recogida de los datos personales por medios fraudulentos, desleales o
ilícitos.
3.2 Información
Otra importante obligación que el responsable del fichero ha de cumplir, en el momento
de efectuar la recogida de los datos personales, es el relativo al deber de información,
conforme al cual el responsable del fichero ha de informar al interesado o afectado,
como mínimo y de forma expresa, precisa e inequívoca, de la existencia del fichero, del
CURSO LOPD 11
tratamiento que se vaya a realizar con los datos recogidos, la finalidad de la recogida, el
carácter obligatorio o facultativo de las respuestas, las consecuencias de la obtención de
los datos o su negativa a suministrarlos, los derechos que asisten al interesado, asi como
de Ia identidad del responsable del fichero y la direcci6n donde poder ejercer los
derechos reconocidos (o del representante).
A su vez la LOPD establece que toda esta información deberá ser incorporada, en forma
claramente legible a todos aquellos formularios, cupones, cuestionarios o impresos en
los que se proceda a la recogida de datos.
También debe incorporarse esta información en los contratos que se suscriben, con la
finalidad de informar sobre el tratamiento que se va a realizar de los datos de clientes,
proveedores o personal laboral. Se trata pues de un deber inexcusable que se convierte
en una garantía más y que supone un reflejo del espíritu de lealtad y buena fe que debe
regir las relaciones entre el responsable del fichero y los interesados. El deber de
información es, por tanto, un deber inexcusable, independiente del tipo de fichero y del
responsable del tratamiento.
Sin embargo, puede suceder que los datos personales no hayan sido recabados
directamente del interesado, en cuyo caso el responsable cuenta con un plazo de tres
meses, contados desde la fecha del registro, para informar al interesado del contenido
del tratamiento, de la procedencia de los datos y de los términos que se indican en el las
letras a), d) y e) del artículo 5.1 de la LOPD.
A su vez, la Ley determina en su artículo 5.5 una serie de excepciones a esta obligación
de informar cuando los datos hayan sido recabados de terceros, estas son:
Cuando se le haya informado con anterioridad, por la empresa que recabo
originariamente los datos.
- Cuando así lo prevea expresamente una Ley.
- Cuando el tratamiento tenga fines históricos, científicos o estadísticos.
- Cuando, a criterio de la AEPD, resulte imposible o exija un esfuerzo desproporcionado
realizar tal comunicación, siempre atendiendo al número de interesados, antigüedad de
los datos y a las posibles medidas compensatorias. Un caso pudiera ser la exención de
las oficinas de Farmacia (responsables del tratamiento de datos personales de médicos
CURSO LOPD 12
que prescriben recetas médicas) de informar a éstos de la existencia del fichero, por
tratarse de un amplio número de interesados.
Por lo tanto, en el caso de que los datos no hayan sido obtenidos directamente del
afectado, sino a través de terceros, se debe comprobar que la empresa que nos cede los
datos ha cumplido con el deber de información, sino deberemos comunicar al interesado
en el plazo antes indicado lo siguiente:
- El contenido del tratamiento.
- La procedencia de los datos.
- De la existencia de un tratamiento, de la finalidad de la recogida y de los destinatarios
de la información.
- De la posibilidad de ejercitar sus derechos de acceso, rectificación, cancelación y
oposición.
- De la identidad y dirección del responsable del tratamiento o, en su caso de su
representante.
En el caso concreto de que los datos procedan de fuentes accesibles al público
(repertorios telefónicos, guías profesionales, etc.) y se destinen a la actividad de
publicidad o prospección comercial, se debe informar al interesado en cada
comunicación que se le realice de:
- El origen de los datos.
- La identidad y dirección del responsable del fichero, las finalidades del tratamiento.
- La posibilidad del ejercicio de los derechos de acceso, rectificación, cancelación y
oposición.
El incumplimiento del deber de información en la recogida de los datos está tipificado
como una infracción en la LOPD (de carácter leve si la recogida de los datos de carácter
personal se realiza de los propios afectados, siendo considerada como grave si los datos
fueron recabados de persona distinta del interesado).
CURSO LOPD 13
3.3 Consentimiento
Disposiciones generales:
Cuando una empresa decide recabar datos de carácter personal debe, para poder
tratarlos, recabar previamente el consentimiento de la persona que los cede. Ese
consentimiento no se basa en que se den los datos, sino en que se sea consciente de
dicha cesi6n, por ello, se exige (existen excepciones) que la persona que da sus datos lo
manifieste, y que ese consentimiento se informado.
Respecto al deber de recabar el consentimiento, y como regla general, se exige que el
mismo sea inequívoco, que no haya lugar a dudas de que el mismo ha sido prestado
(salvo que una ley disponga otra cosa), si bien se admiten las siguientes modalidades en
su prestación:
- El consentimiento tácito, que es la regla general.
- El consentimiento expreso, que es el previsto para aquellos tratamientos que tienen por
objeto datos personales de una mayor sensibilidad (origen racial, la salud y la vida
sexual) que según at articulo 7.3 solo podrán ser recabados, tratados y cedidos cuando,
por razones de interés general, así lo disponga una ley o el afectado consienta
expresamente.
- El consentimiento expreso y por escrito en el caso de los datos que revelen la
ideología, afiliación sindical, religión y creencias. Se exceptúan los ficheros mantenidos
por partidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas y
asociaciones, fundaciones y otras entidades sin ánimo de lucro, cuya finalidad sea
política, filosófica, religiosa o sindical, en cuanto a los datos relativos a sus asociados o
miembros, sin perjuicio de que la cesión de dichos datos precisará siempre el previo
consentimiento del afectado (artículo 7.2 de la LOPD).
Según lo anterior, salvo en los casos en los que la LOPD exige consentimiento expreso
o consentimiento expreso y por escrito (articulo 7 LOPD), la regla general es el
consentimiento inequívoco, pudiendo este ser tácito. Hay que señalar que el
consentimiento general exigido por la Ley va íntimamente ligado a la obligación de
informar, a la hora de la recogida de los datos, de los extremos señalados en el articulo 5
(derecho de información en la recogida), puesto que entiende la Ley que a partir de
CURSO LOPD 14
dicha información el afectado es consciente y toma conocimiento de la existencia del
tratamiento que se va a realizar, las finalidades y los derechos que le asisten.
Excepciones al consentimiento:
Como excepción a la norma general de recabar el consentimiento se establece la
autorización legal, la cual implica que, bien la propia LOPD, bien otros textos
legislativos, autorizan la posibilidad de un tratamiento de los datos personales (y, por
ello, el nacimiento de la relación jurídica objeto de protección por la LOPD) sin
necesidad de contar con el consentimiento del afectado o interesado.
Los supuestos en los que, mediante disposición legal se autoriza el nacimiento de la
relación jurídica objeto de protección por la LOPD, se convierten en verdaderas
excepciones, encontrándose amparados por circunstancias, motivos o justificaciones
que, examinados caso por caso (deberán ser objeto de interpretación y aplicación
restrictiva, valorándose las circunstancias de cada caso particular), determinan que la
privacidad de los individuos, sus datos personales, deban quedar relegados a un segundo
plano para atender, en primer lugar, a otros intereses o bienes jurídicos, igualmente
dignos de protección, ante los que deben ceder.
Por tanto, el deber de obtener el consentimiento del afectado no es un bien absoluto, que
no deba ceder ante nada.
En concreto, se fijan una serie de excepciones a la obtención del consentimiento previo
en el artículo 6.2 de la LOPD. Éstas son básicamente:
- Tratamiento realizados por Administraciones Públicas en el ejercicio de sus
competencias propias.
- Tratamientos realizados dentro del mantenimiento de una relación precontractual,
contractual, laboral o administrativa. Es difícil entender una relación negocial o laboral
que no exija, en sí misma, el tratamiento de los datos personal (ya sea para la
facturación, contabilidad, gestión, realización de nóminas, etc...). Pero, en estos casos,
es recomendable que al inicio de la relación (firma de contratos), se incorporen
cláusulas de información en las que se informe y recabe el consentimiento para el
tratamiento de dichos datos.
CURSO LOPD 15
- Protección de un "interés vital” del interesado, en el supuesto de que el afectado esté
física o jurídicamente incapacitado para dar su consentimiento.
- Cuando procedan de fuentes accesibles al público. No será necesario el consentimiento
del afectado cuando el tratamiento sea necesario para la satisfacción de un interés
legítimo perseguido por el responsable del fichero o por el del tercero a quien se
comuniquen los datos, siempre que no se vulneren los derechos y libertades
fundamentales del interesado (casos de publicidad y prospección comercial,
principalmente).
También, en la LOPD se autoriza la posibilidad de tratar datos personales especialmente
sensibles cuando ello resulte necesario para la prestación de asistencia sanitaria o se
trate de proteger un interés vital del interesado, sin necesidad de recabar el con
sentimiento del interesado (artículo 7.6).
Revocación del consentimiento:
El artículo 6.3 establece que "El consentimiento a que se refiere el artículo podrá ser
revocado cuando exista causa justificada para ello y no se /e atribuyan efectos
retroactivos".
La ley establece que el consentimiento padre ser revocado cuando exista "causa
justificada", así y en este sentido se aplica para los casos de cesión de datos o cuando
los datos se destinen a fines promocionales y/o publicitarios.
Sin embargo, en aquellos casos en los que el tratamiento de los datos viene derivado del
mantenimiento de una relación negocial, administrativa, fiscal o laboral, el
consentimiento al tratamiento de los datos no podre ser revocado sin que se alegue por
afectado una raz6n justa que fundamentos la misma.
Oposición del afectado:
Se establece por la Ley que en aquellos casos en que no sea necesario el consentimiento
del afectado para el tratamiento de los datos y siempre que no se disponga por ley lo
CURSO LOPD 16
contrario, el afectado podrá oponerse al tratamiento de sus datos "cuando existan
motivos fundados y legítimos relativos a una concreta situación personal". En tales
casos, el responsable del tratamiento excluirá del tratamiento los datos relativos al
afectado, constituyendo de esta manera una garantía que posibilita que la privacidad de
los individuos no quede absolutamente al descubierto ante la falta de recabación del
consentimiento.
En el caso de los datos obtenidos de fuentes accesibles al público y cuyo tratamiento sea
para fines promocionales y publicitarios (30.4 de la LOPD) la oposición podre ser total,
sin embargo, en aquellos casos en los que el tratamiento venga del mantenimiento de
una relación contractual, administrativa, laboral, etc. el afectado podrá oponerse a un
tratamiento comercial o promocional de sus datos, pero no a los tratamientos que se
realicen para el mantenimiento o cumplimiento de la citada relación.
3.4 Deber de secreto
Entre las distintas obligaciones que la normativa obliga a cumplir al responsable del
fichero y a todo aquel que intervenga en cualquier fase del tratamiento (encargados de
tratamientos y responsables de seguridad, etc.), el de guardar secreto se configura como
un deber de carácter esencial y elemental. A este respecto, el empresario tiene la libertad
de calificar como confidencial, cualquier documento o información, que a su juicio,
influya directa o indirectamente en el desarrollo del negocio: Estrategias empresariales,
métodos de negocio, documentos contractuales, propiedad intelectual, patentes, proyec-
tos de I+D, etc.
En concreto, la LOPD establece en su artículo 10 que el responsable del fichero y
quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal
están obligados al secreto profesional respecto de los mismos, obligación que subsiste
incluso terminada la relación con el titular del fichero o el responsable del mismo.
Según lo anterior, la Ley establece una obligación de amplio alcance que pretende
abarcar no sólo al responsable, sino a todo aquel que tenga acceso a los tratamientos de
datos en el desarrollo de sus funciones, extendiéndose dicha obligación incluso
terminada y extinguida la relación jurídica que dio lugar al tratamiento de los datos. Un
incumplimiento de este deber, es el caso de que una determinada estrategia empresarial
tendente a posicionar en el mercado una determinada empresa, sea filtrada previa y
CURSO LOPD 17
fraudulentamente a la competencia, impidiendo de ese modo al empresario la
consecución del posicionamiento deseado.
Además, esta obligación fijada por la Ley se ve complementada por el deber profesional
de confidencialidad y secreto descrita en el artículo 5. a) del Estatuto de los
Trabajadores, la cual se mantiene vigente hasta la finalización de la relación laboral.
La experiencia, sin embargo, ha determinado la necesidad de fijar el plazo de vigencia
en función de la mayor o menor sensibilidad de los datos y la mayor o menor
importancia de los mismos, extendiéndose de ese modo este deber de secreto durante el
período de tiempo en el que los derechos del interesado puedan verse dañados si dicho
deber resulta vulnerado o infringido.
Para garantizar el cumplimiento del deber de secreto, se puede establecer que:
- Todo el personal que trate o acceda a los ficheros de datos de carácter personal no
deberá ni podrá divulgar a terceras personas que no deban tener acceso a dicha
información, los datos que maneja en el desempeño de sus funciones.
- Se deberán adoptar todas las medidas de índole técnica y organizativa que aseguren y
garanticen de ese modo la no filtración o acceso a la misma por parte de terceros no
autorizados. Entre las mismas se pueden citar: Limitar el acceso a la información
confidencial, establecer medidas técnicas que permitan la visualización o tratamiento de
información confidencial (contraseñas, criptografía, etc.), mantener la información
confidencial en soporte papel en armarios cerrados bajo llave, etc.
- De existir un acceso a la información confidencial por terceros, se ha de establecer la
obligación de su devolución en el momento en que termine la relación contractual. Esta
obligación permanecerá vigente durante el plazo que se establezca por acuerdo
(normalmente se establece un plazo de 2 años).
También, para mantener la confidencialidad se han de elaborar los denominados
acuerdos o pactos de confidencialidad internos, los contratos de outsourcing (en el caso
de que la información sea tratada por terceros), la inclusión de cláusulas de seguridad en
los contratos, etc.
CURSO LOPD 18
3.5 Movimiento de los datos
El movimiento de los datos se trató con mucho detenimiento en el modulo 3 y 4 del
presente curso, por lo que solo se van a citar muy por encima las obligaciones
relacionadas con el mismo.
En este apartado se va a desarrollar tanto la comunicación de datos a terceros como el
acceso a los datos por cuenta de terceros (no trataremos el movimiento internacional de
datos).
Comunicación o cesión de datos a terceros:
Ya se hizo referencia, al tratar el deber de obtener el consentimiento, que la cesión de
los datos no era sino un tipo de tratamiento, sobre el que la LOPD hace un especial
hincapié, indicando, como regla general, que los datos solo podrán ser comunicados a
un tercero, para el cumplimiento de fines directamente relacionados con las funciones
legitimas del cedente y cesionario, con el previo consentimiento del interesado, por lo
que, una vez más, el consentimiento se muestra como requisito fundamental para la
legitimidad de la comunicación de los datos.
Entre las excepciones en las que puede prescindirse de dicho consentimiento, la LOPD
señala las siguientes: Cuando una ley lo autorice expresamente, cuando se trate de datos
obtenidos de fuentes accesibles al público, o cuando el cesionario de la información sea
alguno de los órganos indicados en el mencionado artículo, cuando la cesión tenga lugar
entre Administraciones públicas y tenga por objeto un trato de los datos con fines
históricos, estadísticos o científicos, entre otros.
Igualmente, la LOPD prevé que si la cesión o comunicación de los datos va precedida
de un procedimiento de disociación, no sería necesario obtener el consentimiento del
interesado o afectado para efectuar esa cesión o comunicación.
Igualmente, como regla general, aunque con posibilidad de ser excepcionada, la LOPD
indica que en el caso de que los datos personales no sean recabados del interesado, el
responsable del fichero, dentro de los tres meses siguientes al momento del registro de
los datos, deberá informarlo (salvo que ya hubiera sido informado con anterioridad) del
contenido del tratamiento, de la procedencia de los datos, así como de lo previsto en las
letras a), d) y e) del artículo 5.1.
CURSO LOPD 19
Acceso a los datos por cuenta de terceros:
En lo relativo al acceso a los datos por terceras personas, es conveniente recordar que la
LOPD establece que no se considerará comunicación de datos el acceso de un tercero a
datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable
del fichero.
A su vez, establece que dicha relación ha de estar regulado por un contrato, en el que se
establecerá que el encargado del tratamiento sólo utilizará los datos bajo las concretas
instrucciones del responsable y que nos los aplicará para fines diferentes a los que
figuren en dicho contrato, ni los comunicará a terceras personas (es recomendable
incluir en el contrato de prestación de servicios una cláusula específica de
confidencialidad, o firmar con cada una de las personas que accedan a la misma Pactos
o Acuerdos de confidencialidad específicos).
En dicho contrato, han de estipularse las medidas de seguridad que el encargado del
tratamiento está obligado a implementar e incluirse en el mismo, que una vez finalizada
la relación contractual, los datos personales, al igual que cualquier soporte o
documentos en que conste algún dato personal, deberán ser destruidos o devueltos al
responsable del tratamiento.
Como ya se indicó, el encargado del tratamiento será considerado también responsable
en el caso de que incumpla las estipulaciones fijadas en el contrato, respondiendo en
todo caso de las infracciones en que hubiera incurrido personalmente.
3.6 Facilitar el ejercicio de los derechos de las personas
El responsable del fichero ha de facilitar el ejercicio de los derechos de las personas
desarrollados en el modulo anterior, como son básicamente el:
- Derecho de información
- Derecho a ser recabado su consentimiento
- Derecho de acceso
CURSO LOPD 20
- Derecho de cancelación
- Derecho de oposición
- Derecho de indemnización
- Derecho de consulta al RGPD
- Derecho de impugnación de valoraciones
- Derecho de exclusión de las guías telefónicas
- Derecho a no recibir publicidad no deseada
- Derechos de los abonados y usuarios de servicios de telecomunicaciones
- Derechos de los destinatarios de servicios de comunicaciones electrónicas
En dicho modulo ya se explicita como se debían resolver los citados derechos por parte
del responsable del fichero (ante la petición o solicitud de ejercicio de los mismos), por
lo que no se volverá a comentar.
4. Protección
4.1 Adopción de las medidas de seguridad
Uno de los puntos clave en torno a los cuales gira la normativa de protección de datos es
el relativo a la seguridad de los datos recogidos en ficheros, con el objeto de garantizar
la intimidad de los individuos. Por ello fue aprobado el Reglamento de Medidas de
Seguridad (Real Decreto 994/1999), donde se regulan las medidas de índole técnica y
organizativa que deben ser adoptadas en los ficheros automatizados de datos (vigente en
todo lo que no se oponga a la LOPD). En cuanto a los ficheros y tratamientos no
automatizados (en soporte papel) preexistentes, la LOPD prevé un régimen transitorio
durante el cual no existe obligación de adecuarse a la Ley hasta el año 2007, no obstante
pueden adoptarse dichas medidas de forma voluntaria.
CURSO LOPD 21
En el citado Reglamento de Medidas de Seguridad se distinguen tres tipos distintos de
datos, en función de la mayor o menor sensibilidad de los datos que sean objeto de
tratamiento, distinguiéndose igualmente tres niveles de medidas de seguridad, como se
indica en la siguiente tabla:
Niveles de medidas de seguridad
Nivel básico
Todos los ficheros que contengan datos de carácter personal han de
adoptar las medidas de nivel básico.
Nivel medio
Los ficheros que contengan datos relativos a la comisión de
infracciones administrativas o penales, Hacienda Pública, servicios
financieros y aquellos cuyo funcionamiento se rija por el artículo 28 de
la LOPD, deberán reunir las medidas calificadas de nivel medio,
además de nivel básico.
Nivel alto
Los ficheros que contengan datos de ideología, religión, creencias,
origen racial, salud o vida sexual así como los que con tengan datos
recabados para fines policiales sin consentimiento de las personas
afectadas deberá reunir, además de las medidas de nivel básico y medio,
las calificadas como de nivel alto.
Por tanto, todo fichero de datos personales debe tener adoptadas las medidas de
seguridad del nivel correspondiente al tipo de datos existentes en dicho fichero, de
conformidad con lo dispuesto en el Reglamento y, como se observa en la tabla
adjuntada, dichas medidas presentan un carácter acumulativo, debiéndose adoptar las
medidas correspondientes al nivel de seguridad que se trate, así como las
correspondientes a los niveles inferiores.
Serán el responsable del fichero y, en su caso, el encargado del tratamiento, los que
resultan obligados a adoptar, en todo caso, las medidas de seguridad correspondientes al
nivel básico y, según corresponda, las medidas de seguridad de nivel medio y alto.
CURSO LOPD 22
4.2 Redacción del Documento de Seguridad
Según el artículo 8 del Reglamento de Medidas de Seguridad de los ficheros
automatizados, "El responsable del fichero elaborara a implantara la normativa de
seguridad mediante un documento de seguridad de obligado cumplimiento para el
personal con acceso a los datos automatizados de carácter personal y a los sistemas de
información".
4.3 Redacción de contratos, acuerdos y cláusulas de
privacidad
La información corporativa de carácter confidencial as uno de los principales activos de
las empresas y como tal, debe estar protegida con medios técnicos, organizativos y
legales frente a accesos no autorizados. Dentro de esta información confidencial
(relativa a los productos, servicios, clientes, proveedores, personal, rnétodo de trabajo,
organización, estrategias empresariales, información económica y financiera, etc.) se
incluyen, por consiguiente, los datos de carácter personal.
Dentro de estos medios legales se incluyen los denominados contratos de outsourcing,
cuando la informaci6n confidencial es tratada por terceros, y los acuerdos y clausulas de
confidencialidad en el caso de que se trate internamente.
El establecimiento de contratos, pactos y cláusulas de confidencialidad, tanto internos
como externos, permite proteger la informaci6n definida como confidencial,
estableciendo en los mismos de forma expresa las obligaciones y límites que se han de
tener en su tratamiento. A continuación, se contratos, pactos comentan sus
características más relevantes.
Contratos en la realización de tratamientos de los datos de carácter
personal por cuenta de terceros:
Este tipo de contratos son conocidos como contratos de outsourcing, sobre los cuales
pesa la obligación legal de constitución en base al artículo 12 de la LOPD. En dicho
contrato se debe determinar claramente:
CURSO LOPD 23
- Lo que se entiende por "confidencial", siendo recomendable huir de referencias
genéricas a la confidencialidad.
- La información, recursos o medios que se ponen a disposición de la tercera empresa,
determinando la titularidad de los mismos.
- El deber de actuar diligentemente en cuanto al tratamiento, conservación,
almacenamiento, transporte, etc., adoptando las medidas que aseguren y garanticen
dicho secreto, evitando de esa manera su pérdida o el acceso a la misma por parte de
terceros no autorizados.
- La obligación de devolver la información confidencial a la que se ha tenido acceso en
el momento que termine la relación contractual, estableciendo que la obligación de
confidencialidad y secreto permanecerá vigente durante el plazo que sea establecido por
las partes.
Es conveniente, igualmente, informar de las consecuencias que pueden derivarse del
incumplimiento de dicha obligación de confidencialidad y secreto. Así puede
establecerse que la sustracción o revelación de dicha información puede ser constitutivo
de un ilícito de naturaleza penal (artículo 197 del nuevo Código Penal de 1995 "Del
descubrimiento y revelación de secretos"), puede ser objeto de acciones disciplinarias
como el despido en caso de que el incumplimiento venga por parte de un trabajador,
reclamación de indemnizaciones por daños y perjuicios, etc.
Acuerdos/pactos y cláusulas de confidencialidad:
La firma de acuerdos específicos de confidencialidad junto con los contratos de trabajo
o bien la inclusión de una cláusula específica de confidencialidad en dicho contrato, se
trata de una práctica muy habitual en las organizaciones.
Como ya se ha indicado éstos suelen suscribirse entre el responsable del fichero y el
personal que trabaja a su servicio, y que como consecuencia del mismo tenga la
necesidad de acceder a información calificada coma confidencial (es frecuente también
su uso en las cesiones o comunicaciones de datos).
El contenido básico de los acuerdos y cláusulas de confidencialidad as muy similar al de
los contratos de outsourcing, pero además en éstos pueden establecerse todas las
CURSO LOPD 24
especialidades, que por razón de la relación contractual, sean establecidas por las partes.
En concreto, con los citados instrumentos informaremos al personal de las pautas a
seguir en el tratamiento personal de los datos, con sus obligaciones y limitaciones, para
de ese modo reducir algunas práctica muy comunes como son: Llevarse información
confidencial a casa para trabajar (sin contar con las pertinentes medidas de seguridad),
copiar la información de las bases de datos a las que se tiene acceso en el momento de
abandonar el puesto de trabajo, etc.
El incumplimiento de los mismos puede suponer el inicio de acciones legales, y la
reclamación de indemnizaciones por daños y perjuicios.
4.4 Auditoria de la protección de datos
Como ya se indicó, todo fichero que contenga datos personales debe tener implantadas
las medidas de seguridad correspondientes at nivel de sensibilidad de los datos
personales que contenga, tal y como establece el artículo 9 de la LOPD relativo a la
seguridad de los datos. Estas medidas de seguridad, tanto técnicas como organizativas,
están reguladas en el Real Decreto 994/1999, de 11 de junio.
Entre las consideradas como medidas de nivel medio y alto, destaca una medida de
seguridad, de obligado cumplimiento, la denominada "auditoria de protección de
datos", cuya regulación se concreta en at artículo 17 del mencionado Real Decreto.
Según el mismo, los sistemas de información e instalaciones de tratamiento de datos
deberán someterse a una auditoría interna o externa, que verifique el cumplimiento del
mencionado Real Decreto y de los procedimientos a instrucciones vigentes en materia
de seguridad.
Esta obligación deberá cumplirse, como mínimo, cada dos años.
Por lo tanto, el objeto fundamental de esta auditoría es el de verificar la adaptación de
los ficheros de datos personales a las obligaciones impuestas, no sólo por la LOPD, sino
también por el Reglamento de Medidas de Seguridad y las restantes disposiciones
normativas que resulten de aplicación, en especial, a las medidas de seguridad y a los
procedimientos llevados a cabo para la recogida y tratamiento de los datos personales.
CURSO LOPD 25
Las auditorías permiten conocer, por tanto, en el momento de su realización cual es la
situación exacta en cuanto a protección, control y medidas de seguridad.
En lo relativo a su ejecución, mencionar que toda auditoría de protección de datos ha de
constar de una serie de fases que, básicamente, se pueden resumir como sigue a
continuación:
Fase 1. Identificación de datos personales:
Estudio de los distintos medios de recogida de datos personales, finalidad del
tratamiento, ficheros existentes y medidas de seguridad existentes, en su caso. En ella se
ha de obtener el mayor volumen de información posible, la cual será necesaria para
elaborar la denominada "Política de Seguridad" a seguir, así como para desarrollar el
resto de las fases de la auditoría.
Fase 2. Establecimiento del nivel y medidas de seguridad aplicables:
Una vez analizada toda la información, se procede a la determinación del nivel de
medidas de seguridad que debe ser adoptado, en función del tipo de datos personales
contenidos en los ficheros.
Fase 3. Redacción del informe de auditoría:
Memoria explicativa que contiene una relación de las actuaciones realizadas, las
deficiencias o anomalías observadas, los aspectos que deben ser corregidos,
advertencias legales y el plazo existente para proceder a su corrección, así como de las
medidas que sea necesario implantar.
Fase 4. Ejecución, seguimiento y control de las medidas correctoras:
Posteriormente el informe de auditoría es analizado y, en base al mismo, se establece un
plan de seguimiento y control de las medidas correctoras adoptadas para lograr la
adecuación a la normativa, comprendiéndose entre otras, la redacción de los
Documentos de Seguridad, inscripción de los ficheros en el Registro General de la
Protección de Datos, redacción de contratos y cláusulas de protección de datos, etc.
CURSO LOPD 26
5. Deber de colaboración con la Agencia Española de
Protección de datos
Como norma general se puede afirmar que si una organización que almacena y trata
datos de carácter personal cumple con los principios básicos, facilita al interesado el
ejercicio de sus derechos en los plazos y en los extremos señalados por la ley, legalice el
fichero mediante su registro y establece unas medidas de seguridad para la protección
del mismo, esta estará totalmente segura de no incurrir en las infracciones previstas en
la normativa.
Sin embargo, es muy importante recordar que en la LOPD se establecen una serie de
funciones a la AEPD, en concreto en el artículo 37 y que, a su vez, en el artículo 40 de
la misma Ley se dota a dicha AEPD de potestad inspectora. En base a estos artículos, se
establecen como infracciones:
- Según el artículo 44.2 b) de la LOPD “no proporcionar la información que solicita la
AEPD en el ejercicio de las competencias que tiene legalmente atribuidas, en relación
con aspectos no sustantivos de la protección de datos" constituye una infracción leve.
- Según el artículo 44.3 i) y 44.3 j) de la LOPD será considerada una infracción grave
"no remitir a la AEPD las notificaciones prevista en esta Ley o en su disposiciones de
desarrollo, así como no proporcionar en plazo a la misma cuantos documentos e
informaciones deba recibir o sean requeridos por aquél a tales efectos, así como
practicar la obstrucción al ejercicio de la función inspectora".
Por lo tanto, es muy importante colaborar con la AEPD en el ejercicio de las funciones
que ésta tiene establecidas en la LOPD.
6. Gestión de la protección de datos
6.1 Generalidades
La "Protección de Datos de Carácter Personal" surge como una nueva
obligación para las nuevas entidades profesionales, independientemente de su
CURSO LOPD 27
titularidad. Pero, el deber en esta materia no sólo debe consistir en la adaptación a la
normativa vigente, sino también en la aplicación práctica de los comenta dos principios
de protección de datos en el seno de la entidad, dentro de cada uno de los
departamentos, involucrando de esta manera en todo el personal.
De este modo, el cumplimiento de lo establecido en la LOPD y su normativa de
desarrollo se concreta no sólo en la legalización, legitimación y protección de los
ficheros de datos de carácter personal, sino también en su aplicación práctica en el seno
de la organización, es decir, en la incorporación a la dinámica de la empresa de los
principios rectores de la protección de datos de carácter personal. La gestión de la
protección de datos de carácter personal y, por tanto, la incorporación a la dinámica de
la empresa de los principios rectores en la materia, adquiere una gran importancia
debido fundamentalmente a que las consecuencias de su incumplimiento conllevan
grandes responsabilidades tanto para la propia organización como para el personal que
trata o accede a los datos de carácter personal, es decir, las sanciones en la materia no
son sólo de naturaleza administrativa y dirigidas a la organización en sí, sino que
además de dichos incumplimientos se pueden derivar responsabilidades de naturaleza
civil, penal y laboral.
No obstante, una adecuada gestión de la protección de datos no sólo permite
librarse de costosas infracciones, sino que va a capacitar a la organización para lograr
un cumplimiento de los preceptos establecidos en la LOPD y demás normativa de
desarrollo, cumplimiento del que derivan importantes beneficios como son la mejora de
la protección ofrecida a los ciudadanos, las ventajas obtenidas de la seguridad
implementada y la consecución de un plus de calidad que los consumidores saben
apreciar, es decir, se otorgan un gran número de ventajas competitivas a las empresas
que respetan y cumplen la normativa frente al resto que la incumple.
Como los principios básicos de la protección de datos ya han sido desarrollados con
anterioridad, se va a comentar únicamente la denominada como "política de privacidad"
y el procedimiento de información y formación del personal en la materia.
CURSO LOPD 28
6.2 Establecimiento de la política
A la hora de gestionar la protección de datos en la organización es muy importante
llevar a cabo la definición de una política de privacidad, cuya difusión es vital en el
seno de la organización (suministro de información).
En esta política de privacidad se suele informar fundamentalmente sobre:
- El carácter y finalidad de la LOPD y su normativa de desarrollo.
- Las obligaciones básicas impuestas.
- Los diferentes principios, acciones y procedimientos a adoptar en la gestión diaria de
la empresa, etc.
Igualmente, se puede informar al personal empleado sobre otras medidas o políticas de
seguridad de los sistemas de información implementados por la organización, así como
de las responsabilidades que se pueden derivar de su incumplimiento.
6.3 Formación e información
También se considera importante la realización de sesiones formativas en la materia
para todo el personal, ya que la "cultura de la protección de datos" incumbe a todos los
niveles jerárquicos, y no solo a los mandos directivos.
Así el establecimiento de seminarios, conferencias o jornadas de formación en materia
de protección de datos en el seno de las organizaciones permite un conocimiento en los
diferentes ámbitos de la protección de datos, como pueden ser la legislación vigente y la
seguridad de sistemas de información, convirtiéndose, por consiguiente, en otra de las
medidas que se ha de implementar.
Como principal ventaja de esta acción formativa e informativa se deriva la consecución
de una mayor participación de los empleados, los cuales podrán consultar y comentar
las particularidades de su puesto de trabajo.
¡ Fin del
tema 8 !