Articulo descargado en www.megasyc.com – Soluciones en Implantación LOPD La definición de Dato de Carácter Personal Es importante que la empresa que va tratar sus datos según la normativa de protección de datos conozca los conceptos de las principales figuras presentes en esta ley. La legislación enumera en su articulo 3, las figuras pertenecientes al tratamiento de datos de carácter personal, son ellas: datos de carácter personal, fichero, tratamiento de datos, responsable del fichero, afectado o interesado, procedimiento de disociación, encargado del tratamiento, consentimiento del interesado, cesión o comunicación de datos y fuentes accesibles al publico. En este artículo iremos tratar de la primera de las figuras, y quizás la figura determinante de la vinculación o no al tratamiento según la Ley Orgánica 15/1999. La problemática empieza cuando tengo que delimitar lo que serian datos de carácter personal. Las principales dudas son: ¿Qué tipos de datos entran en los ficheros? ¿No lo sé si efectivamente manejo datos de carácter personal en mi oficina? Para solucionarnos estas cuestiones debemos atarnos a la definición de lo que sea realmente un dato de carácter personal. La actual legislación en materia de protección de datos es fruto de la transposición de la Directiva Europea 95/46/CE. Tanto la Ley Orgánica 15/1999 cuanto la antigua LORTAD (Ley Orgánica 5/1992) han cogido el concepto de dato de carácter personal de la Directiva Europea. La Ley de Protección de Datos de Carácter Personal (LOPD), preceptúa en su artículo 3 la definición del dato de carácter personal. “Articulo 3: a) Datos de Carácter Personal: cualquier información concerniente a personas físicas identificadas o identificables.” Por deducción los datos que no identifiquen una persona quedan fuera de la aplicación a la normativa. Pero hay que tener mucho cuidado con las “entrelineas”, es decir, si poseo una dirección de correo electrónico que no contenga un nombre, o no mostré datos relacionados con el titular de la cuenta, como por ejemplo: trabajo@proveedor.com, a principio no seria considerado un dato de carácter personal. Lo que pasa es que la dirección del correo electrónico aparecerá referenciada a un dominio concreto, siendo posible identificar su titular mediante consulta al servidor. La Agencia Española de Protección de Datos ya se ha posicionado acerca de este tema, concluyendo que la dirección se encuentra amparada por la ley, es decir, habrá que tratar la dirección del correo electrónico como un dato de carácter personal, auque a primera vista no parezca contener ningún dato de carácter personal. En relación a la conceptuación se puede decir que es muy amplia, y por tanto posibilita innumeras interpretaciones. La doctrina justifica la amplitud de la conceptuación como una mejor manera de adaptación de la ley a los cambios del futuro, y consecuentemente a los avances informáticos. A principio podríamos plantearnos: ¿Lo que seria una persona identificable? ¿Qué tipos de datos abarcarían? Articulo descargado en www.megasyc.com – Soluciones en Implantación LOPD Articulo descargado en www.megasyc.com – Soluciones en Implantación LOPD Según la Directiva 95/46/CE, en su articulo 2.a): “identificable es toda persona cuya identidad pueda determinarse directa o indirectamente, en particular mediante un numero de identificación o uno o varios elementos específicos característicos de su identidad física, fisiológica, psíquica, económica, cultural o social.” Delante de lo expuesto, los datos identificativos que solemos aplicar en el tratamiento serán: nombre y apellidos, dirección postal y de correo electrónico, DNI. Los datos identificativos, son siempre de carácter personal y permiten identificar a un usuario de forma única. Los datos cuando tratados de forma “aislada”, pueden no identificar una persona: Como ejemplo: si solo tenemos la nacionalidad de una persona, no tenemos base substancial para descubrir quién es la persona, pero si con un conjunto de datos podremos hacer un “perfil” de la persona, ya se puede llegar a esta a través de datos no identificativos propiamente dichos. Cuando se llega e este “perfil” donde realmente se identifica la persona, ya estamos obligados a tratar los datos según los preceptos de la LOPD. En el artículo 2.2 de la Ley, podremos encontrar los ficheros exceptuados de tratamiento por parte de la LOPD: “Artículo 2. Ámbito de aplicación. 2. El régimen de protección de los datos de carácter personal que se establece en la presente Ley Orgánica no será de aplicación: a) A los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas. b) A los ficheros sometidos a la normativa sobre protección de materias clasificadas. c) A los ficheros establecidos para la investigación del terrorismo y de formas graves de delincuencia organizada. No obstante, en estos supuestos el responsable del fichero comunicará previamente la existencia del mismo, sus características generales y su finalidad a la Agencia de Protección de Datos.” Lo más importante realmente es delimitar que tipo de datos poseo en mi base de datos y se estos datos se encuentran entre los datos que carecen de una reglamentación, según la normativa. Mantener datos de carácter personal sin el debido tratamiento, constituye una infracción grave, según el artículo 44 párrafo 3, H de la Ley Orgánica 15/1999: “Artículo 44. Tipos de infracciones: 3. Son infracciones graves: h) Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen.” Articulo descargado en www.megasyc.com – Soluciones en Implantación LOPD Articulo descargado en www.megasyc.com – Soluciones en Implantación LOPD Además a cada día que pasa la Agencia Española de Protección de Datos actúa realizando inspecciones verificadoras del cumplimiento de la ley, y los destinatarios de los datos reclaman por un correcto tratamiento de sus datos, con lo cual, las empresas que incumplen la normativa se encuentran cada vez más pasibles de sufrieren alguna sanción. Eleonora Carceroni Garbayo Consultora LOPD Megasyc eleonora@megasyc.net www.megasyc.com Articulo descargado en www.megasyc.com – Soluciones en Implantación LOPD