COMENTARIOS A LA RESOLUCIÓN Nº XXXX/2004
La ley protege un derecho fundamental como es la protección de los datos de carácter
personal.
.jpg)
Lejos de hacer un artículo doctrinal de la LOPD, les invito a hacer un seguimiento
de un supuesto de hecho y su incidencia en la empresa de un profesional detective.
Supuesto de hecho:
La Sra. “X” (en adelante la clienta), el día 9 de septiembre del 2004 acude a un
despacho de detectives para investigar la supuesta infidelidad de su marido, horarios de
entrada, de salida, lugares que frecuenta, nivel económico, bienes a su nombre, etc”.
El detective “Y” (en adelante el detective) acepta el encargo, le pide una serie de
datos y quedan para el día siguiente para que le traiga fotografías, direcciones del trabajo
y de casa, modelo del coche, etc, todo ello del investigado Sr. “F” (en adelante el
investigado,) y el detective y su equipo del despacho se ponen a trabajar.
La investigación empieza y el detective comienza a elaborar un informe dónde
consta el patrimonio del investigado según datos de los registros públicos y diferentes
organismos, sus horarios de entrada y salida, los lugares que frecuenta y respecto a esto
se reseña una orientación sexual dado que son lugares de alterne de ambiente
homosexual.
Mientras el detective va investigando se pone en contacto con él la abogada “C”
que le lleva el estudio de la separación a la clienta y el detective le pasa por e-mail un
borrador del Informe que está elaborando. Al mismo tiempo el detective despide a uno de
sus empleados, el Sr. M (en adelante el empleado), que estaba trabajando en dicho
asunto, dado que eliminó parte del archivo del Informe y por fin, la investigación concluye
con un Informe con reportaje fotográfico que le es entregado a la clienta el 29 de
septiembre del 2004.
El día de la primera visita entre la clienta y el detective ya se produce una
traslación de datos por parte de esta a aquel, dado que le informa de su nombre, apellidos
y teléfono. Dichos datos son de nivel básico y pertenecerían al fichero “clientes”.
Al día siguiente la clienta le está transmitiendo al detective datos del investigado,
tales como: nombre, apellidos, dirección de trabajo, dirección particular, núm. de móvil,
entidades bancarias con las que trabaja, identificación de tarjetas visa, ingresos de la
declaración de renta, horarios, afiliación política, pertenencia o no a un sindicato, religión.
Dichos datos que incorpora el detective en su empresa de forma automatizada
pertenecen a otro fichero denominado “investigados” y por el contenido de los datos se
corresponde con el nivel alto.
En el momento que el detective pone a trabajar a su equipo humano en el caso le
está haciendo participe del tratamiento de esos datos de carácter personal a sus
empleados.
El e-mail que envía el detective a la abogada es una cesión de datos de carácter
personal.
El empleado despedido tiene deber de secreto y confidencialidad indefinido con los
datos de carácter personal que le han sido transmitidos durante su relación laboral. El
archivo eliminado por él es una incidencia que afecta a la protección de datos de carácter
personal y que ha de quedar debidamente registrada.
El informe definitivo contiene datos de carácter personal de nivel alto y por lo tanto,
tiene que estar regulado quién y cómo puede tener acceso a dicho documento dentro de
la empresa del detective.
Análisis:
El despacho del detective como mínimo tiene 4 ficheros bajo la categoría de la
LOPD de “Responsable del fichero” que se han de inscribir en la Agencia de Protección
de Datos y que son: “Clientes”, “investigados”, “empleados” y “colaboradores”.
Dichos ficheros que contienen datos de carácter personal son de niveles distintos
siendo el nivel superior el nivel alto, por lo que se pueden hacer 2 planteamientos: El
primero, dotar a cada fichero de las medidas de seguridad que exigen LOPD y el
Reglamento, y el segundo, dotar a todos los ficheros del nivel de seguridad superior.
Si en el despacho disponemos de una hoja plantilla para que cuando llegue un
cliente él mismo apunte sus datos, nos autorice para insertarlo en nuestro fichero de
clientes, para trasladar sus datos a terceros en el caso que sea necesario para el encargo
profesional, y, dicha hoja sea a su vez informativa de los derechos de acceso,
rectificación, cancelación y oposición, estaremos cumpliendo las principales obligaciones
establecidas en la LOPD de información y consentimiento del interesado.
Los empleados del despacho del detective tienen que tener en sus Contratos de
Trabajo u Anexos al mismo una cláusula de la LOPD y de confidencialidad. Asimismo
deben de estar informados de las medidas de seguridad que están implantadas en la
empresa.
Respecto a los empleados hay que tener en cuenta que si la gestión de nóminas
no se lleva dentro de la propia empresa y se externaliza en una gestoría o despacho de
abogados, a pesar de que la empresa sigue siendo “Responsable del fichero” la gestoría
que confecciona las nóminas y los TC se convierte en “encargada del tratamiento” y dicha
relación debe estar documentada por escrito a través de un Contrato que se denomina
“Contrato de acceso de datos”.
Dicho hecho es extrapolable a cuantos servicios tengamos
externalizados en nuestra empresa dónde se manejen datos de carácter personal.
La empresa ha de tener un Documento de Seguridad que no es más que un
documento que describe la empresa y que ha de indicar, entre otros datos: cuantos
ordenadores hay, que sistema operativo se utiliza, la existencia de contraseñas en los
ordenadores y en la entrada a los ficheros, que personas de la empresa tienen acceso a
los datos, cuantas copias de seguridad se hacen, cómo es el acceso a la oficina, etc.
El contenido del Documento de Seguridad variará dependiendo del nivel de seguridad que
tengamos que aplicar, y además deberá mantenerse en todo momento actualizado.
Asimismo se ha de tener un Registro de Incidencias donde se anota cualquier
anomalía que afecte o pueda afectar a la seguridad de los datos y un Libro Inventario de
Soportes que permita identificar el tipo de información que contienen.
En definitiva se trata de adoptar las precauciones y obligaciones que impone la
LOPD y el Reglamento sobre medidas de seguridad, al mismo tiempo que desarrollamos
nuestro trabajo, y dado que las sanciones que impone la Agencia de Protección de Datos
son muy amplias y van desde una cantidad mínima de 600 € y una máxima de 600.000 €,
previéndose incluso la inmovilización de los ficheros por el incumplimiento de la citada Ley
y su Reglamento. Quizás merezca la pena destinarle tiempo e inversión económica a
implantar la LOPD en nuestra actividad empresarial.
No hay comentarios:
Publicar un comentario