FAQ – OBLIGACIONES QUE IMPONE LA LOPD

3. OBLIGACIONES QUE IMPONE LA LOPD

3.1 Deber de información en la recogida de datos

Se trata de un deber para el responsable del tratamiento y de un derecho para el titular de los datos de carácter personal. Cuando se soliciten datos personales, habrá que informar al interesado de modo expreso, preciso e inequívoco acerca de:

  • La existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
  • De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
  • De la posibilidad de ejercitar los Derechos ARCO.
  • De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.
3.2 Obtención del consentimiento del interesado para el tratamiento de datos

El tratamiento de datos personales requiere el consentimiento del titular de los mismos, salvo en aquellos supuestos legalmente exceptuados. La LOPD define consentimiento como toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen. Según la AGPD:

  • Libre supone que se ha obtenido sin vicio alguno conforme establece el Código Civil.
  • Específico requiere que el consentimiento vaya referido a una determinada operación de tratamiento y para una finalidad determinada, explícita y legítima del responsable del tratamiento.
  • Informado, es decir, que el afectado conoce la existencia del tratamiento y la finalidad del mismo.
  • Inequívoco, lo que significa que el consentimiento no puede deducirse de los actos realizados por el afectado.

Dicho consentimiento deberá ser expreso cuando se trate de datos personales referidos al origen racial, a la salud o a la vida sexual y, además, deberá prestarse por escrito cuando se refieran a ideología, religión, creencias o afiliación sindical.

3.3 Deber de secreto

Recogido en el art. 10 LOPD, obliga al responsable del fichero, al encargado del tratamiento, al personal de uno y de otro, es decir, a todos aquellos que intervienen o han intervenido en cualquier momento del tratamiento de datos personales, al secreto profesional respecto de los mismos y al deber de guardarlos, incluso, una vez finalizada su relación con el responsable del fichero.

3.4 Obligación de notificar la creación de ficheros

Las personas físicas o jurídicas que vayan a crear ficheros con datos de carácter personal deberán notificarlo a la AGPD para su inscripción en el Registro General de Protección de Datos (RGPD). También están obligados aquellos entes sin personalidad jurídica, como las comunidades de propietarios, que dispongan de ficheros con datos personales. La notificación deberá indicar:

  • La identificación del responsable del fichero.
  • La identificación del fichero, sus finalidades y los usos previstos.
  • El sistema de tratamiento empleado en su organización.
  • El colectivo de personas sobre el que se obtienen los datos.
  • El procedimiento y procedencia de los datos.
  • Las categorías de datos.
  • El servicio o unidad de acceso.
  • La indicación del nivel de medidas de seguridad básico, medio o alto exigible.
  • En su caso, la identificación del encargado del tratamiento en donde se encuentre ubicado el fichero y los destinatarios de cesiones y transferencias internacionales de datos.
3.5 Obligación de notificar la modificación o supresión de ficheros

La inscripción de un fichero debe estar siempre actualizada, por lo que, aquellas modificaciones que afecten al contenido de la inscripción de un fichero, deberán notificarse a la AGPD. Sería el caso, por ejemplo, de cambios en la razón social o en el domicilio del responsable del fichero.

Procederá la supresión de un fichero cuando quede totalmente excluido del ámbito de aplicación de la LOPD, cese la actividad del responsable del tratamiento o si desaparece el motivo que originó su creación.

3.6 Elaboración de un documento de seguridad

El responsable del fichero o tratamiento elaborará un documento donde se recogerán las medidas, tanto técnicas como organizativas, que deben reunir, conforme a la legislación vigente, los locales, los equipos informáticos, los programas, las personas,… contendrá como mínimo:

  • Ámbito de aplicación del documento con especificación detallada de los recursos protegidos.
  • Medidas, normas, procedimientos de actuación, reglas y estándares encaminados a garantizar el nivel de seguridad exigido por la legislación vigente.
  • Funciones y obligaciones del personal en relación con el tratamiento de los datos de carácter personal incluidos en los ficheros.
  • Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan.
  • Procedimiento de notificación, gestión y respuesta ante las incidencias.
  • Los procedimientos de realización de copias de respaldo y de recuperación de los datos en los ficheros o tratamientos automatizados.
  • Las medidas que sea necesario adoptar para el transporte de soportes y documentos, así como para la destrucción de los documentos y soportes, o en su caso, la reutilización de estos últimos.

En caso de existir ficheros a los que les sean de aplicación las medidas de seguridad de nivel medio o alto, deberá contener:

  • La identificación del responsable de seguridad.
  • Los controles periódicos previstos para verificar el cumplimiento del propio documento de seguridad.

El documento de seguridad recogerá las funciones y obligaciones de las personas con acceso a datos personales, por lo que el responsable del tratamiento deberá adoptar las medidas oportunas para que el personal conozca las normas de seguridad que afecten al desempeño de sus funciones y las consecuencias de su incumplimiento.

El documento de seguridad debe mantenerse actualizado atendiendo a la situación real de los ficheros y de los sistemas de tratamiento del responsable del fichero, por lo que habrá que hacer las modificaciones pertinentes, por ejemplo, cuando se crean nuevos ficheros, se pasa de un tratamiento en papel de los datos personales a su tratamiento informático, etc… En todo caso, el documento de seguridad deberá adecuarse en todo momento a la legislación vigente en materia de protección de datos.