Revista Inmueble | Noticias, información y actualidad sobre sector inmobiliario y derecho
El pasado 19 de enero se publico en el BOE el Real Decreto 1790/2007 por el que se aprueba el reglamento de desarrollo de la ley orgánica 15/99. Este Real Decreto nace con la intención de aclarar dudas que se planteaban en la implantación de la ley 15/99 de protección de datos y definir mas claramente los requisitos a implantar en los ficheros tanto automatizados como no automatizados. Esto supone la derogación del anterior RD 994/99 que determinaba las medidas de seguridad de los ficheros automatizados que contienen datos de carácter personal.
La entrada en vigor del Real Decreto se produjo el día 19 de marzo de 2008, tres meses después de su publicación.
Entre los principales cambios que supone este Real Decreto, cabe destacar la exclusión establecida como ficheros de datos personales, de los mantenidos por las empresas con datos de otras empresas, aun en el caso de contener datos de las personas que prestan servicio en estas entidades, como pueden ser: nombre, apellido, dirección postal o electrónica, teléfono É ni los de los autónomos cuando se haga referencia a ellos por el servicio prestado. Esto implica que los ficheros de proveedores, ya no deben tener establecidas las medidas de seguridad indicadas en el Real Decreto.
Este hecho no significa que la ley de protección de datos ya no sea aplicable para las empresas, ya que todas ellas deberán seguir cumpliéndola respecto a los datos que mantienen de sus Empleados, currículo de potenciales empleados y clientes siempre que éstos sean personas físicas como sucede en las inmobiliarias y promotoras.
OBLIGACIONES ESTABLECIDAS
El Real Decreto 1790/2007, establece la obligación de las empresas, con respecto a los datos de carácter personal de los que dispone, desde la recogida de los mismos, hasta su eliminación, pasando por supuesto por todas las fases del tratamiento.
En la recogida de los datos.
La recogida de datos de carácter personal debe realizarse de forma que se informe al afectado del tratamiento posterior que se va a dar a estos datos, y la finalidad para la que van a ser usados, obteniéndose su autorización para realizar este tratamiento. Si bien esto no supone ninguna novedad con respecto al anterior Real Decreto, si que el Real Decreto 1790/2007 ha servido para establecer mas claramente métodos permitidos para conseguir esta autorización para el tratamiento de los datos.
Asi, se permite la obtención del consentimiento para el tratamiento, mediante el envío de comunicaciones a los afectados, en la cual se informe de la existencia de una base de datos, de la finalidad de la misma, la obligatoriedad o no de comunicar cada dato, la dirección donde puede ejercer sus derechos de acceso, rectificación y cancelación y los datos del Responsable de ese fichero de los datos
El afectado tendrá un plazo de 30 días para manifestar su negativa al tratamiento, teniendo que ser los medios puestos a su disposición para la contestación gratuitos.
En caso de solicitarse el consentimiento para el tratamiento dentro de un contrato, cuya finalidad no sea para la que se solicita el consentimiento, se deberá permitir al afectado que manifieste su negativa al tratamiento, por ejemplo incluyendo una casilla para su señalización, que no puede estar premarcada como sucede en muchas ocasiones en la actualidad.
Las empresas deben establecer métodos para que los afectados puedan revocar su consentimiento de forma sencilla y gratuita
La cesión de datos
Se considera cesión de datos toda comunicación de datos de carácter personal a cualquier persona distinta del interesado. Esto supone que cuando dos empresas incluso cuando siendo de un mismo grupo, comparten datos de clientes, están realizado cesión de datos entre ellas.
Como novedad, también se consideran cesión de datos, el cruce de datos de varios ficheros de varias empresas, para actualización de datos con fines de promoción, comercialización o servicios.
Las cesiones de datos deben ser comunicadas a los interesados y autorizadas previamente por ellos. Como en el caso que hemos comentado antes con la recogida de datos, a través del Real Decreto, se permite recabar este consentimiento para la cesión mediante envío de comunicaciones a los afectados, que en esta ocasión deben incluir: informe de los datos que van a ser cedidos a quien van a ser cedidos, que actividad desarrolla el cesionario y la finalidad de la cesión. Los plazos y medios de comunicación con los interesados son los mismos de los establecidos para la recogida de datos.
El tratamiento de los datos
Toda empresa que realice tratamiento de datos de carácter personal debe incorporar unos mecanismos de seguridad que establece el Real de Decreto según los niveles de seguridad establecidos.
Estos niveles de seguridad son:
BASICOS: para todas las bases con datos de carácter personal.
MEDIOS: para bases de entidades financieras para finalidades relacionadas con la prestación de servicios financieros.
ALTOS: bases que contengan datos de ideología, afiliación sindical, salud, vida sexual o origen racial.
Destacaremos como novedad que los ficheros de nominas que hasta ahora se consideraban como de protección ALTA por tener datos de salud o de afiliación sindical, ahora pueden ser considerados básicos, si la finalidad de la base es solo la realización de una transferencia dineraria a un organismo del que el afectado sea miembro (como en el caso de coutas a sindicatos) y si los datos de salud incluidos solo son referidos al grado de discapacidad o simple declaración de discapacidad o invalidez del afectado.
En el caso de los subcontratistas que realizan un tratamiento sobre los datos de carácter personal que dispone la empresa, entre los que cabe destacar las empresas de mantenimiento informático, ya sea este mantenimiento en nuestras instalaciones, en remoto o mixto según los casos. El Real decreto ha establecido un mayor control, pidiendo que se incluya en el contrato más claramente, a que les permitimos acceder, de que forma y las obligaciones para la protección de datos establecidas en nuestra empresa.
TRATAMIENTO DE DATOS EN FICHEROS DE PAPEL
Los principales cambios en el tratamiento, son los requeridos para los ficheros en papel, los cuales hasta ahora sí debían ser comunicados a la Agencia de Protección de Datos, pero no se habían establecido medidas concretas a implantar.
Se han establecido medidas a tomar para los ficheros, teniendo en cuenta que el contenido de los mismos puedan ser considerados como; básicos o medio, las principales medidas solicitadas son:
Ficheros de carácter Básico
- Se debe de disponer de un manual de seguridad donde se definan, el ámbito de aplicación las funciones y responsabilidades del personal, medidas de seguridad implantadas, estructura de los ficheros, procedimiento de incidencias y controles establecidos para verificar que se cumplen las medidas establecidas.
- Se deben definir por escrito los criterios de archivo, y en caso de existir legislación al respecto este procedimiento debe asegurar su cumplimiento.
- El archivo de los documentos debe realizarse en armarios con cerradura.
- Debe formarse e informar al personal que maneja los documentos de que es responsable de su custodia siempre que estos no se encuentren archivados, siendo su responsabilidad impedir, que pueda ser accedidos por personal no autorizado.
Ficheros de carácter Medio
Además de lo establecido para el nivel básico,
- Se establece la obligación de hacer auditoria cada 2 años.
- La información debe estar en áreas cuyo acceso sea protegido por puertas con cerradura
- La generación de copias de documentos solo puedes ser realizada por personal autorizado en el documento de seguridad.
- Las copias creadas para trabajo deben ser destruidas cuando dejen de ser útiles y mientras se usan deben tener las mismas medidas de seguridad que los originales.
- Las copias desechadas deben ser desechadas de forma que se evite su reconstrucción a través de trituradoras etc.
- Si se trasladan documentos fuera de las instalaciones, deben adoptarse medidas para impedir el acceso o manipulación de la informacion durante estos traslados, realizando una autorización previa al personal para poder utilizar estos documentos fuera de las instalaciones.
Los tiempos establecidos para implantar las nuevas medidas de seguridad son de un año para ficheros automatizados y un año, dieciocho meses o dos años, según el nivel de protección de la base (bajo, medio o alto), para las bases en papel. Contando en todos los casos desde el día de su entrada en vigor.
Los valores actuales de altas en la agencia de protección de datos siguen siendo bastante altos en relación al todas de altas existentes, lo que muestra que aun existen muchas empresas que no cumplen con las obligaciones fijadas por la ley. Según la Agencia de Protección de datos, en el año 2007 se han dado de alta 213.308 nuevos ficheros lo que supone un 20,9% del total de ficheros inscritos que son 1.017.266.
Lo mismo sucede con las empresas relacionadas con la inmobiliaria y la construcción, las cuales suponen entre las dos aproximadamente un 9% de los ficheros inscritos. Solo en el mes de diciembre se han dado de alta 492 ficheros de empresas de actividades inmobiliarias y 463 de actividad de construcción.
Las sanciones establecidas para quien no cumpla con la ley, pueden ir desde los 601,01 a 60.101,21 para sanciones leves como no realizar el alta de ficheros en la agencia, de 60.101,21 a 300.506,05 , para sanciones medias, como no tener establecidas las medidas de seguridad requeridas o de 300.506,05 a 601.012,10 para sanciones graves, como recogida fraudulenta de datos, o cesión de datos a otras empresas.
#ads1{display: none !important;}
#ads2{display: none !important;}
#ads3{display: none !important;}
#ads4{display: none !important;}
/*.code-block {display: none !important;}*/
#economist-inarticle{display: none !important}
#publicidad{display:none;}
#cortardivhglobal{display: none !important;}
¿Quieres seguir leyendo?
Suscríbete a la Revista Inmueble desde
