Adaptación de las empresas a la LOPD

JAVIER HERNANDEZ MARTINEZ
Abogado

Con suma frecuencia se encuentra el empresario de Internet - o de fuera de ella - con el deber ineludible de tener que adaptar su negocio a la LOPD, o Ley Orgánica de Protección de Datos, pero ... ¿ sabe realmente a qué nos referimos ?. En este articulo intentaremos explicar todo ello de una manera lo más sencilla posible.

¿ Qué es la LOPD ?

Es una ley, del año 99, ya plenamente en vigor, llamada Ley Orgánica de Protección de Datos de Carácter Personal. El objeto de su protección ya nos lo indica su nombre : los datos de carácter personal, y por tales entiende dicha norma todos aquellos de personas identificadas o identificables. Hemos de matizar y recalcar que dicha norma se aplicará tanto esté dicha empresa o negocio en el ámbito de la red de redes como si no, o sea, es indiferente que el ámbito de negocio se proyecte o no sobre Internet, pues tanto en un caso como en otro será de obligada observancia lo contenido en sus preceptos.

¿ Por qué tengo que aplicar la LOPD ?

A grosso modo puede haber dos motivos, enfatizando cada empresario en aquel que le parezca más convincente : 1) Evitar las elevadísimas sanciones previstas en la LOPD ( de hasta 600.000 euros ), o 2) Al cumplir la ley, mejorar la imagen a dar frente al cliente, en el sentido de que éste se considere tranquilo en tanto en cuanto en dicha empresa, la política de la misma, está orientada en orden a respetar la privacidad y el derecho a la intimidad de sus clientes, por lo que en coherencia con ello se aplicaría la LOPD de la forma más escrupulosa posible. Resumiendo : evitación de sanciones y/o mejora de imagen frente al cliente.

¿ Cómo se cumple la LOPD ?

Esta pregunta, formulada en términos tan inocentes y simples, realmente exigiría un manual de un montón de páginas para su cumplida y cabal respuesta, pero si aquello a lo que se quiere responder es que cuáles, simplificada, sintética y resumidamente, serían las obligaciones básicas a cumplir por parte de la empresa, estas podrían estar muy bien representadas por los siguientes elementos : Inscripción de ficheros en el Registro General de Protección de Datos; Elaboración del llamado Documento de Seguridad; Aplicación y Divulgación de dicho Documento en el seno de la empresa; y Elaboración de los Clausulados y Solicitud del consentimiento a los titulares de los datos.

Las obligaciones expuestas digamos que sólo son aquellas básicas, y que a cualquier empresa afectarían, pues luego, con las especialidades y modos concretos o peculiaridades de cada negocio, habría que matizar, ampliar, y estudiar más a fondo cada uno de los casos, ya que la cuestión no suele tornarse tan simple cuando se trata de llevar todo ello a la práctica, ámbito éste en el que los manuales teóricos tienen que ser suplidos por la imaginación - y a veces "malabarismos" jurídicos - del abogado o asesor jurídico.

¿ Qué ejemplos habría de posibles infracciones ?

El más simple, por lo básico, sería aquel consistente en no inscribir los ficheros en el Registro antes aludido. La sanción por ello sería, como mínimo, de 600 euros - lo que tal vez nos costaría el abogado para legalizar todo desde un principio - hasta un máximo de 60.000 euros.

Otro supuesto, y además muy habitual en las empresas que no tienen adaptada su organización a la LOPD, es aquel en el cual al recabarse los datos del titular de los mismos, no se le informa de los derechos que le asisten y que están recogidos en la ley, así como tampoco de cómo llevar a cabo dicho ejercicio. La sanción prevista sería igual que para el ejemplo anterior.

Subiendo un escalón en lo que se refiere a monto o cuantía de las posibles sanciones, serviría de ejemplo a tal fin el del impedimento u obstaculización de la empresa en relación a facilitar al titular el ejercicio de sus derechos de acceso y oposición, o en su caso la negativa a facilitar la información solicitada. En tales casos estaríamos hablando ya de sanciones cuyo tramo mínimo comenzaría en 60.000 euros, y el máximo llegaría hasta 300.000 euros.

Y como ejemplo, para terminar, pues la relación podría ser inmensa, podríamos dar de infracción muy grave, y por lo tanto con tramo de sanción que iría de 300.000 a 600.000 euros, el de aquel supuesto en el cual los datos pasen por el servidor de algún país que conforme a le legislación española no tenga el visto bueno de la Agencia de Protección de Datos. Uno de dichos países, para sorpresa de muchos, es USA, a excepción de determinadas empresas incorporadas en una lista o relación, publicada por el Departamento de Comercio de dicho país, que tiene el visto bueno de las autoridades de la UE, llamada lista de Safe Harbor o de Puerto Seguro.

Al hilo de lo anterior, no son extraños los casos en los que el cliente indica a su abogado que su servidor está en España, y cuando se le pide el contrato de hosting con dicha empresa, empiezan a aparecer subcontratas o puntos oscuros en el mismo, descubriéndose al final, para sorpresa del cliente, que realmente el hospedaje o alojamiento de su web está en otro sitio bien distinto, y ello no sólo ocurre con los servicios de hosting, sino incluso con los de pasarela de pagos en algunas ocasiones cuando los bancos de que se trata no son españoles, así que consecuencia obligada : Estar al tanto del contenido y alcance de dichos contratos.

Hemos de añadir a lo anterior, que una de las potestades, por ley, encomendadas a la Agencia de Protección de Datos en el terreno sancionador, no es sólo la de imponer multas, sino incluso la de inmovilizar los ficheros de que se trate, aunque esto último, como fácilmente se estará intuyendo, es para casos muy concretos y realmente graves.