IEDGE – Protección de datos de carácter personal en España

Continuando el post los aspectos legales e institucionales que regulan el comercio electrónico en España, vamos a explicar la normativa legal sobre protección de datos de carácter personal en actividades relacionadas con el comercio electrónico en España.

Otro aspecto que puede tener implicaciones en la realización de actividades de comercio electrónico es el referido a los posibles tratamientos de datos personales que se pudieran derivar del desarrollo de este tipo de operaciones.

La Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal, regula el tratamiento de los datos de carácter personal de las personas físicas, obtenidos por entes públicos y privados en el ejercicio de sus funciones, impidiendo un uso indiscriminado de este tipo de datos e imponiendo sanciones para los casos de incumplimiento de las obligaciones por ella establecidas.

Esta Ley Orgánica se aplica a los datos de carácter personal, entendidos como cualquier información concerniente a personas físicas, identificadas o identificables, no siendo extensiva, por tanto, su regulación a los datos que hagan referencia a personas jurídicas.

http://www.youtube.com/watch?v=MQkuG3OSSwk

La normativa sobre protección de datos de carácter personal gira en torno a los siguientes principios:

• El interesado debe consentir previamente el tratamiento de sus datos de carácter personal, salvo en los supuestos excepcionados por la Ley.
• El tratamiento de datos especialmente protegidos (aquellos que hagan referencia a la ideología, afiliación sindical, religión, creencias, origen racial, salud y vida sexual) requiere el consentimiento expreso (y por escrito en los cuatro primeros casos) del interesado.
• El interesado debe ser informado acerca de una serie de extremos con relación al tratamiento previsto de sus datos de carácter personal.
• Únicamente pueden ser objeto de tratamiento aquellos datos de carácter personal que resulten pertinentes, adecuados y no excesivos con relación a la finalidad que motivó su recogida.
• La comunicación de datos de carácter personal a un tercero requiere la obtención del consentimiento previo a tal efecto del interesado, salvo que dicha comunicación se encuadre en alguno de los supuestos excepcionados por la Ley.
• Cuando la comunicación de datos personales se dirija a un tercero, que en la Ley recibe la denominación de Encargado de Tratamiento, que preste un servicio que implique el acceso a tales datos, no se requiere el consentimiento del interesado, siendo necesario que la relación se regule en un contrato de prestación de servicios que incluya una serie de menciones establecidas por la Ley.
• Se reconocen a los interesados los derechos de acceso, rectificación, cancelación y oposición al tratamiento de sus datos de carácter personal.
• La creación de ficheros de datos de carácter personal debe notificarse con carácter previo a la Agencia Española de Protección de Datos, organismo encargado de velar por el cumplimiento de esta normativa.
• El establecimiento de infracciones leves, graves o muy graves por incumplimiento de las obligaciones impuestas en esta Ley, a las que corresponden sanciones hasta 601.012,10 euros.

Asimismo, debe tenerse en cuenta el Real Decreto 994/1999, que aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal, en virtud del cual se deben aplicar medidas técnicas y organizativas que garanticen la seguridad de los ficheros automatizados, que varían en función de la naturaleza de los datos de carácter personal objeto de tratamiento.

Otro aspecto destacable es el relativo a las comunicaciones de datos que impliquen un movimiento internacional de los datos de carácter personal, el cual requiere la autorización previa del Director de la Agencia de Protección de Datos cuando tenga por destino países sin un nivel de protección equiparable al español, excepto en una serie de supuestos concretos como, por ejemplo, cuando el afectado consienta de manera inequívoca la transferencia de sus datos. En este sentido, se entiende que los Estados miembros de la Unión Europea garantizan un nivel de protección adecuado, siendo preciso, en otros casos, una declaración en ese sentido de la Comisión de las Comunidades Europeas o la determinación de la adecuación de la protección ofrecida por el país correspondiente por parte de la Agencia Española de Protección de Datos.

Pese a encontrarse todavía en fase de preparación, resulta de obligada mención en este apartado el proyecto de Reglamento por el que se desarrolla la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal, cuya aprobación se espera para los próximos meses. Este texto integraría gran parte de los criterios y de las recomendaciones que la Agencia Española de Protección de Datos ha venido dictando en los últimos años sobre la aplicación práctica y los modos de ejecución de los distintos principios que rigen la protección de datos de carácter personal. Este texto detallaría la regulación relativa a cuestiones tales como las formas de recabar el consentimiento, en especial para tratamientos de datos con fines de marketing, la subcontratación de tratamientos de datos personales o el modo de ejercicio de los derechos de acceso, cancelación, rectificación y oposición por parte de los interesados. Asimismo, se prevé que el Reglamento incluya un capítulo dedicado a las medidas de seguridad que deben aplicar los responsables, sea cual fuere el modo del tratamiento, ya sea automatizado o manual.

¡Quedo a la espera de sus comentarios!

Rafael García del Poyo

Profesor de Planeación Fiscal y Legal

Nota: Para aprender y convertirse en un especialista en Management, Marketing, Finanzas, Operaciones, Personas, Tecnología y Legal, les invitamos a que consulten el Master Europeo en Administración y Dirección de Empresas.

* Los contenidos publicados en este post son responsabilidad exclusiva del Autor.

¡Pronto grandes sorpresas en Facebook y Twitter!:

• Síguenos en Twitter: @iedge
• Hazte fan en Facebook: http://www.facebook.com/IEDGEBusinessSchool

Comentarios

1. Fernando Pulido Soto
   comento el día 26 de diciembre a las 11:54 pm (#)

   
   

   Hola Prof. Rafael,

   me parece muy bien que el gobierno se preocupe por las bases de datos que tienen las empresas de sus clientes. En mexico este año esta iniciando el proceso de proteccion de datos.

   Saludos
   Fernando

   
   

2. Rafael García del Poyo
   comento el día 30 de diciembre a las 2:45 pm (#)

   
   

   Fernando:

   Soy consciente de que en julio de 2010, se publicó la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, legislación que vino a completar a nivel federal la legislación que ya existía en los estados de Morelos, Colima y Jalisco si no me equivoco.

   Se trata de una dura tarea tanto para las empresas como para el gobierno si desean ambos hacer una aplicación práctica y efectiva de la norma…

   Saludos,

   Rafa

   
   

3. Fernando Pulido Soto
   comento el día 30 de diciembre a las 7:24 pm (#)

   
   

   Gracias Prof. Rafael

   
   

Post relacionados

• IEDGE – Ley 11/2007 de acceso electrónico de los ciudadanos a los servicios públicos
• IEDGE – LISI, Ley 57/2006, de Medidas de Impulso de la Sociedad de la Información
• IEDGE – LSSI, Ley 34/2002 de Servicios de la Sociedad de la Información y Comercio Electrónico
• IEDGE – Nombres de dominios
• IEDGE – Propiedad intelectual e industrial en actividades de carácter electrónico
• IEDGE – Normativa legal en Facturación temática, firma electrónica y dinero electrónico en España
• IEDGE – Aspectos legales e institucionales que regulan el comercio electrónico en España