La Ley Orgánica 15/1999, de 13 de Diciembre, de Protección de datos de Carácter Personal, en adelante LOPD, introdujo una serie de requisitos que deben respetar toda aquella persona que tiene acceso al tratamiento de datos de carácter personal. Hoy vamos a tratar los cumplimientos legales que debe satisfacer el responsable de un fichero de tratamiento de datos de carácter personal.

Responsable del fichero vs. Encargado de tratamiento de datos:

Debemos comenzar distinguiendo entre el responsable del fichero, y el encargado del tratamiento de datos, dos figuras distintas con dos finalidades diferentes:

  • El responsable de un fichero o tratamiento es la entidad, persona o el órgano administrativo que decide sobre la finalidad, el contenido y el uso del tratamiento de los datos personales. Sobre el responsable del fichero recaen las principales obligaciones establecidas por la LOPD y le corresponde velar por el cumplimiento de la Ley en su organización.
  • Asociada a la figura del responsable, está la figura del encargado, que no es otro que la persona física o jurídica, pública o privada, u órgano administrativo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio. No se considera encargado del tratamiento a la persona física que tenga acceso a los datos personales en su condición de empleado dentro de la relación laboral que mantiene con el responsable del fichero.

Ambos, encargado y responsable del tratamiento, pueden ser sancionados de acuerdo a la LOPD si incumplen sus obligaciones.

Cuando estamos ante el tratamiento de datos personales:

En concreto, si se recogen y tratan el nombre, los apellidos, la fecha de nacimiento, la dirección postal o la dirección de correo electrónico, el número de teléfono, el número de identificación fiscal, la huella digital, el ADN, una fotografía, el número de seguridad social, etc., se están usando datos que identifican a una persona, ya sea directa o indirectamente.

Si se están tratando datos personales, se deben cumplir las obligaciones que impone la LOPD, salvo que sea en el ejercicio de actividades exclusivamente personales o domésticas.

La LOPD será de aplicación a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado.

La obligación de notificación de ficheros:

La creación de ficheros debe ser notificada para su inscripción en el Registro General de Protección de Datos (RGPD) de la Agencia Española de Protección de Datos.

Esta inscripción la hará el responsable del fichero, su obligación será hacerla con anterioridad al uso de los ficheros, cuando se produzcan cambios respecto a la inscripción inicial y, por último, cuando cesa el uso del fichero.

El hecho de que se inscriba el fichero implica el compromiso por parte del responsable del fichero de que cumple con todas las exigencias legales.

Es importante destacar que no tiene coste alguno y, que permite que los titulares de los datos puedan conocer quiénes son los responsables de los ficheros ante los que ejercitar directamente los derechos (ARCO) de acceso, rectificación, cancelación y oposición.

Además que la no notificación de la existencia de un fichero supondría una infracción leve o grave, tal y como señala el art. 44 de la LOPD, quedando sujeto al régimen sancionador previsto en esta Ley.

De la recogida y tratamiento de datos. Del consentimiento:

Cualquier persona tiene derecho a saber si sus datos personales van a ser incluidos en un fichero, y los tratamientos que se realizan con esos datos.

El art. 5 de la LOPD recoge la obligación que tienen los responsables de ficheros o tratamientos de informar a los ciudadanos de la incorporación de sus datos a un fichero, de la entidad y dirección del responsable, de la finalidad del fichero, de los destinatarios de la información, del carácter obligatorio o facultativo de su respuesta a las preguntas que le sean planteadas, de las consecuencias de los datos o de la negativa a suministrarlos, etc.

Los afectados que vayan a estar en un fichero deberán ser informados y, deberán conocer para qué se utilizan sus datos, deberán conocer que existe un tratamiento con sus datos así como se deberá indicar el responsable del fichero y de su dirección o la de su representante.

La ley exime del deber de informar sobre algunos de estos aspectos cuando se deduzcan inequívocamente de la naturaleza de los propios datos personales y de las circunstancias en las que se produce la recogida.

La LOPD establece una serie de prerrogativas necesarias de cumplimiento, que necesitarán de un asesoramiento concreto y adaptado a las circunstancias de la persona física o jurídica que se encuentre recogiendo datos de carácter personal, cumpliendo la legalidad vigente y evitando posibles sanciones de importante cuantía por su incumplimiento.