LA LOPD EN EL DÍA A DÍA
¿Qué es el derecho a indemnización?
Según establece la Ley, los interesados que, como consecuencia del incumplimiento de la LOPD por el responsable o el encargado del tratamiento, sufran daño o lesión en sus bienes o derechos, tendrán derecho a ser indemnizados.
Cuando se trate de ficheros de titularidad pública, la responsabilidad se exigirá de acuerdo con la legislación reguladora del régimen de responsabilidad de las Administraciones Públicas.
En el caso de ficheros de titularidad privada, la acción se ejercitará ante los órganos de jurisdicción ordinaria.
Es decir, tenemos que tener en cuenta que, si como consecuencia del incumplimiento de la LOPD por nuestra empresa, el titular de los datos se ve perjudicado en algo, tendrá derecho a pedir una indemnización que le compense el daño sufrido.
Esta petición de indemnización la ejercerá en los tribunales ordinarios, utilizando, entre otras cosas, la resolución del procedimiento sancionador de la AEPD como prueba de la infracción ocurrida.
IMPORTANTE
Debemos tener en cuenta, en caso de infracción de la LOPD, que además de la sanción de la AEPD, el titular afectado puede exigirnos una indemnización.
SANCIONES DE LA AEPD
Sanción por no atender el requerimiento de la AEPD
En la resolución R/00927 de la AEPD podemos ver la sanción que puede sufrir una entidad por no atender un requerimiento de la Agencia Española de Protección de Datos para realizar comprobaciones de oficio sobre el cumplimiento de la LOPD.
Con fecha 26 de marzo de 2010, el Director de la AEPD envió al SANATORIO S.J.A. el requerimiento relativo al Informe de cumplimiento de la LOPD en Hospitales y se requería que lo cumplimentase antes del 31 de mayo de 2010. El 18 de junio de 2010, se remitió un segundo requerimiento al no haberse recibido contestación al primero, para que procediera a la cumplimentación del citado informe antes del 31 de julio de 2010.
El 25 de noviembre de 2010, el Director de la AEPD acordó iniciar procedimiento de declaración de infracción de Administraciones Públicas por presunta infracción del art. 37.1.a) de la LOPD. La entidad alegó que el primero no fue atendido por un problema interno y el segundo no tiene constancia de su recepción y no fue atendido por desconocimiento.
Durante la instrucción del procedimiento, el SANATORIO S.J.A. cumplimentó el Informe de cumplimiento de la LOPD en centros hospitalarios y le fue remitido a la AEPD para su conocimiento.
Resultado: Sanción de 3.000 € por vulneración del artículo 37.1 de la LOPD.
IMPORTANTE
Ante un requerimiento de la AEPD (el que sea) lo peor que puede hacer una entidad es dejarle sin contestación.
LA AEPD ACLARA
Acceso al libro de registro de socios
El informe 0338/2012 de la AEPD resuelve la consulta planteada sobre si el posible acceso por los accionistas de una sociedad anónima al libro de registro de socios, así como el contenido de dicho acceso, planteando si debe incluir también el domicilio, a efectos de dar a conocer una nueva propuesta de gestión y administración de la sociedad; todo ello de conformidad con la LOPD.
De dicho informe jurídico se extrae lo siguiente:
a) La revelación de los datos contenidos en dicho libro, es una cesión o comunicación de datos.
b) El art. 116 del Real Decreto Legislativo 1/2010 de 2 de julio por el que se aprueba el Texto Refundido de la Ley de Sociedades de Capital prevé, por un lado, el contenido del libro registro de acciones nominativas, incluyendo nombre, apellidos, nacionalidad y domicilio de los titulares; y por otro lado permite el acceso al mismo, puesto que “cualquier accionista que lo solicite” puede examinar este libro. Por tanto, existe norma con rango de ley que ampara dicha comunicación de datos.
c) Sin embargo, la finalidad de la comunicación de los datos ha de estar estrictamente relacionada con el ejercicio de la condición de socio, no pudiéndose utilizar los datos para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos.
IMPORTANTE
Para que la cesión resulte conforme a la LOPD deberá ser respetuosa no solamente del principio de legitimación sino de los demás principios recogidos en dicha norma.
EL PROFESIONAL RESPONDE
Si un trabajador quiere a llevarse trabajo a casa, ¿qué requisitos hay que cumplir de cara a la LOPD?
El Artículo 86 del Reglamento, relativo al régimen de trabajo fuera de los locales del responsable del fichero o encargado del tratamiento establece:
- Cuando los datos personales se almacenen en dispositivos portátiles o se traten fuera de los locales del responsable de fichero o tratamiento, o del encargado del tratamiento será preciso que exista una autorización previa del responsable del fichero o tratamiento, y en todo caso deberá garantizarse el nivel de seguridad correspondiente al tipo de fichero tratado.
- La autorización a la que se refiere el párrafo anterior tendrá que constar en el documento de seguridad y podrá establecerse para un usuario o para un perfil de usuarios y determinando un periodo de validez para las mismas.
Por tanto, debemos realizar lo siguiente antes de permitir que un trabajador se lleve trabajo a casa:
- Estar seguro que se va a garantizar el nivel de seguridad que corresponde al fichero que se va a tratar fuera.
- Crear una autorización para ese trabajador, en la que se indiquen los datos que se autorizan a tratar fuera de las instalaciones del responsable y el nivel de seguridad que tiene que aplicar el trabajador.
- Dicha autorización tiene que constar en el Documento de Seguridad, así como un periodo de validez.
IMPORTANTE
En el Documento de Seguridad debe existir una relación de los usuarios que tienen autorización para tratar datos fuera de las instalaciones del responsable.