Artículos doctrinales

12/01/2009

La creación de ficheros de datos en las empresas

La imagen muestra un archivados con uno de sus cajones abiertos de donde sale un candado en referencia a los ficheros de datos de las empresasSon muchas las empresas que desde su nacimiento cuentan con un elenco de datos de carácter personal, ya sea de trabajadores, clientes o proveedores, por citar algunos de los ejemplos más corrientes, que organizan de forma sistemática, dependiendo de la modalidad de su creación, almacenamiento, organización y acceso.

Pues bien, todo este flujo de datos de carácter personal que puede manejar una empresa desde su creación, independientemente de su tamaño e importancia, tiende a organizarse de alguna forma para hacer un tratamiento racional de esta información; es este tipo de datos y su organización a lo que llamamos fichero de datos, con independencia de que se trate de un fichero informático o en soporte papel.

La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) centra su atención en la tutela de los datos personales que son tratados por terceros y que pueden ser susceptibles de inclusión en un fichero. Teniendo en cuenta esto, es esencial para toda empresa conocer cómo la Ley Orgánica de Protección de Datos afecta a la creación de estos ficheros y qué medidas de índole técnica y organizativa deben de aplicarse en la empresa para garantizar la seguridad de los datos personales y evitar su alteración, pérdida o tratamiento no autorizado.

Obligación de inscripción de los ficheros de datos

En su artículo 26 la LOPD recoge la obligatoriedad de inscripción de los ficheros que contengan datos de carácter personal, previa a la creación de los mismos. La inscripción de este tipo de ficheros debe de hacerse ante la Agencia Española de Protección de Datos (AEPD), que es la encargada de administrar el Registro General de Protección de Datos donde han de inscribirse todos los ficheros que contengan datos de carácter personal, dividiéndose en ficheros de titularidad pública o privada, con la finalidad de dar publicidad al tratamiento de los mismos.

La notificación previa a la inscripción de un fichero en el Registro General de Protección de Datos de la AEPD debe de recoger unos contenidos mínimos que se fijan en el artículo 26.2 de la Ley, entre los cuales figuran: el responsable del fichero, la finalidad del mismo, su ubicación, el tipo de datos de carácter personal que contiene, las medidas de seguridad, las cesiones de datos previstas y, en su caso, las transferencias de datos que se prevean realizar a otros países.

Una vez realizada esta comunicación previa a la Agencia Española de Protección de Datos, el fichero quedará automáticamente inscrito en el Registro General de Protección de Datos si la notificación se ajusta a los requisitos exigibles.

En caso contrario se puede requerir a la empresa para que complete los datos aportados o proceda a su subsanación.

Otras obligaciones: el Documento de Seguridad

La LOPD no hace distinción entre ficheros contenidos en soporte papel o soporte informático, por lo que ambos tienen que ser inscritos en el Registro, cumpliéndose con esto solo una parte de las obligaciones que tienen las empresas o particulares que mantengan ficheros con datos personales. La inscripción de los ficheros solo tiene carácter meramente declarativo debiéndose implementar por parte del responsable de los ficheros la aplicación de las medidas de seguridad adecuadas, en atención a los datos que contienen los mismos, y que se clasifican en medidas de nivel bajo, medio y alto.

Por lo tanto con la inscripción de ficheros por parte de la empresa en el Registro General de Protección de Datos, esta cumple con su obligación de notificación previa ante la Agencia, lo que no excluye que la utilización de esos datos por la empresa deba ceñirse a un uso legítimo y al cumplimiento de las garantías que la Ley establece para la protección de las personas, como es el Documento de Seguridad que toda empresa está obligada a confeccionar, donde se implementan las medidas de seguridad que se aplicarán a los distintos ficheros y que deben de revisarse cada dos años.

En definitiva, no estamos ante una obligación complicada o costosa de cumplir, pues con la ayuda de un experto puede adaptarse la empresa a la Ley Orgánica de Protección de Datos en un plazo muy corto de tiempo, dado que el trabajo a realizar fundamentalmente consiste en la identificación y el análisis de los ficheros, su comunicación y registro en la Agencia, la revisión de las cláusulas de recogida de datos que deberán existir en la distinta documentación de la empresa y la confección del correspondiente Documento de Seguridad.

Lo que si es cierto, es que el incumplimiento de estas obligaciones puede acarrear importantes sanciones a la empresa, perfectamente evitables con un mínimo coste. En HISPACOLEM contamos con un Departamento de Nuevas Tecnologías que presta, entre otros, los servicios profesionales de adecuación de su empresa a la normativa vigente en materia de Protección de Datos y del Comercio Electrónico, pudiendo facilitarle sin compromiso alguno un presupuesto adecuado a las características de su empresa.

Hispacolex