Marketing

CHECKLIST DE LOS PRINCIPALES PUNTOS DE LA LEY DE PROTECCIÓN DE DATOS PERSONALES

En más de una ocasión hemos abordado en este medio la confusión que ha surgido en nuestro país con motivo de la nueva Ley Orgánica de Protección de Datos. Recientemente tuvo lugar en el Hotel Crown Plaza la conferencia sobre la nueva Ley de Protección de Datos Personales y el Reglamento de Seguridad, organizada por IIR, el Institute for International Research. Veinte expertos participaron en las conferencias, donde se presentaron dos casos prácticos sobre datos laborales y organización, además de un seminario impartido por la empresa PricewaterhouseCoopers sobre cómo realizar una auditoría de seguridad informática de datos personales adaptada a los requisitos establecidos en el Reglamento. Algunos de los puntos que se trataron fueron:

– Acceso al censo promocional: “Quienes pretenden realizar permanente o esporádicamente la actividad de recopilación de direcciones, reparto de documentos, publicidad, venta a distancia, prospección comercial u otras actividades análogas, podrán solicitar del INE una copia del censo promocional, formado con los datos de nombre, apellidos y domicilio que constan en el censo electoral” (art. 31.1).

– Recogida de datos: los afectados tienen derecho a ser informados sobre la existencia, finalidad y destinatarios del fichero, la obligatoriedad o no de las respuestas, las consecuencias de la obtención o no de datos, la posibilidad de ejercer sus derechos sobre esos datos, la identidad y la dirección del responsable del fichero. El objetivo de la recogida de datos y aquel al que finalmente se aplican deben ser compatibles, aunque es de prever que haya problemas en la delimitación de compatibilidades.
Según el art. 28.1 los datos deben ser pertinentes, adecuados y no excesivos para el objetivo, exigiendo el consentimiento del interesado para publicar más datos que los mínimos.

– Datos de especial protección: los datos sobre la raza, salud y vida sexual deben contar con el consentimiento expreso del afectado. No se podrá obligar a declarar a nadie sobre datos de ideología, religión y creencias.

– Información al afectado: “Cuando los datos procedan de fuentes accesibles al público, de conformidad con lo establecido en el párrafo segundo del art. 5.5 de esta ley, en cada comunicación que se dirija al interesado se informará del origen de los datos y de la identidad del responsable del tratamiento, así como de los derechos que le asisten”. Sin embargo no tiene sanción prevista en el art. 44.

– Derecho de acceso regulado en el art. 15 de la LPD: “El interesado tendrá derecho a solicitar y obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, el origen de dichos datos, así como las comunicaciones realizadas o que se prevé hacer de los mismos”.

– Derecho de oposición del afectado: cuando existan motivos fundados y legítimos relativos a una concreta situación personal para que el afectado se oponga al tratamiento de sus datos provenientes de una fuente pública, el responsable del fichero deberá excluir el tratamiento de esos datos.

– Obligación del responsable del fichero de inscribirlo en la Agencia de Protección de Datos (APD)y mantener la inscripción actualizada.

– Seguridad: deben existir medidas para garantizar la seguridad de los datos personales, evitar su alteración, pérdida, tratamiento o acceso no autorizado. Esta protección debe cumplirse para accesos locales y para accesos a través de redes.

– Transferencia internacional de datos: El art. 34.k no exige autorización previa del director de la APD cuando ésta tenga como destino un Estado miembro de la UE o respecto del cual la Comisión de las Comunidades Europeas haya declarado que garantiza un nivel de protección adecuado.

– Cesión de datos: se considera como tal “toda revelación de datos realizada a una persona distinta del interesado” (art. 3.i.). Para la cesión de datos deben existir fines legítimos en el cedente y el cesionario y consentimiento del afectado (art. 11.1). Se exige para la validez de este consentimiento que se determine la finalidad a que se destinarán los datos o el tipo de actividad del cesionario (art. 11.3).

Los ponentes, expertos en seguridad y protección de datos, dieron también algunos consejos para el correcto cumplimiento de la ley:

– La nueva LORTAD es ambigua a la hora de establecer el plazo en que entra en vigor. El abogado Miquel Roca y Junyent interpreta que la Disposición Adicional Primera establece un período de tres años para la adecuación a la ley de los ficheros preexistentes. Sin embargo recientes resoluciones de la APD. parecen demostrar que a efectos de esta oficina la LPD. está ya en vigor.

– Ante la obligación de contar con el consentimiento del afectado para cada tratamiento, cesión e internacionalización de datos Javier Aparicio, Abogado del Estado, recomienda la inclusión de una leyenda que contemple todos los procesos para los que estos datos se puedan utilizar.

– Ana Marzo, socio fundador de Marzo & Asociados, aconseja un especial cuidado con los datos que puedan obtenerse sobre familiares y allegados a los clientes. La utilización de Internet, por ejemplo, por parte de no clientes puede conducir a la obtención y tratamiento de datos relativos a menores aun sin saberlo (recordemos el caso de Geocities en EEUU).

– Sólo es necesario, según Marzo, solicitar una vez el consentimiento del cliente para el tratamiento de datos suyos no obtenidos de fuentes públicas. Este consentimiento puede englobar el tratamiento de estos datos en diversas campañas por parte de la misma empresa.

– Debe exigirse la fotocopia del DNI del interesado para ofrecerle información sobre los datos que de él posee la empresa. En caso de que no facilite este requisito deberá comunicársele su necesidad para dar respuesta a su consulta. Cuando este mínimo se cumpla empezarán a contarse los 30 días en que es obligatorio responder al interesado.

– En reciente resolución de la APD encontramos un precedente considerando una dirección e-mail como dato personal. Aunque las opiniones al respecto son divergentes, la doctrina de la APD, basándose en esta resolución, es que una dirección e-mail que contenga como mínimo la inicial del nombre y el apellido del afectado se puede identificar con éste y es, por tanto, un dato personal.

– Tanto los ponentes como los asistentes a la conferencia se quejaron del carácter unipersonal de la APD, que se mantiene en esta ley, así como del secreto de sus resoluciones. Joaquín Pérez, Inspector de la agencia, estuvo de acuerdo en la conveniencia de “publicar las resoluciones con ánimo orientativo aunque disociadas de los nombres de los implicados”.

A pesar de que la ley se considera aun más restrictiva que la Directiva 95/46 que intenta adaptar, sigue habiendo voces en contra de lo que llaman “intrusiones al derecho de la intimidad”.

Representantes de Nueva Izquierda presentaron la semana pasada un escrito ante el Defensor del Pueblo pidiendo un recurso de inconstitucionalidad contra diez preceptos de la LPD. Las quejas se centran en el art. 31, referente al censo promocional, alegando que permite comerciar con datos del censo, actividad prohibida por la Ley Electoral.

En lo que atañe al sector del marketing, Javier Aparicio opina que las copias del censo tendrán un valor elevado ya que se prevé que la lista sea única. Esto determinará “que la adquisición de dichas copias pueda realizarse sólo por un número limitado de empresas, que a su vez las explotarán comercialmente mediante el alquiler total o parcial”.

Para más información contacten con IIR en el tel.: 91 700 48 70 o en www.iir.es y la Agencia de Protección de Datos en www.ag-protecciondatos.es y [email protected].

Te recomendamos

#Highway2Sales

Eficacia

Atresmedia

ADN by DAN

Compartir