En Barcelona a 15 de mayo del 2002.
Muy Sres. nuestros,
Habiéndose producido los primeros expedientes de inspección por parte de la Agencia de Protección de Datos y por tanto las primeras sanciones, les remitimos la presente para recordarles sus obligaciones al respecto.
Ya en 1992 cuando se promulgó la hoy derogada LORTAD, se estableció la obligación de declarar a la Agencia de Protección de Datos los ficheros automatizados con datos de carácter personal.
En 1999, con motivo de adaptar la normativa nacional en su totalidad a la Directiva 95/46/CE del Parlamento Europeo, se promulgó la Ley 15/1999, de 13 de diciembre sobre Protección de Datos de Carácter Personal. y el correspondiente Reglamento, R.D. 994/1999 de 11 de junio.
Esta nueva legislación, además de la declaración de ficheros, obliga a todas las empresas a tener a disposición de la Inspección el llamado Documento de Seguridad.
Este documento es un manual de actuaciones y métodos que deben implantar las empresas en sus instalaciones con el fin de asegurar la protección de los datos de carácter personal, tanto de los empleados como de los clientes y proveedores o cualquier colaborador.
En los artículos 43, 44 y 45 de la L.O.P.D. se detalla la calificación de las infracciones y las sanciones que conllevan:
Son infracciones LEVES: Sancionables desde 100.000 a 10.000.000 de ptas.
(entre otras):
- No atender la solicitud de rectificación o cancelación de datos personales cuando legalmente proceda.
- No proporcionar información a la Agencia de Protección de Datos o no atender un requerimiento.
- No inscribir un fichero.
- Proceder a la recogida de datos de carácter personal de los propios afectados sin proporcionarles la información que señala el art. 5 de la Ley.
Son infracciones GRAVES: Sancionables desde 10.000.001 a 50.000.000 ptas.
(entre otros:)
- Proceder a la recogida de datos de carácter personal sin recabar el consentimiento expreso de las personas afectadas, en los casos que éste sea exigible.
- El impedimento o la obstaculización del ejercicio de los derechos de acceso y oposición o la negativa a facilitar la información que sea solicitada.
- Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad.
- No remitir a la Agencia de Protección de Datos las notificaciones previstas, así como no proporcionar en plazo a la misma cuantos documentos e informaciones deba recibir o sean requeridos por aquél a tales efectos.
- La obstrucción al ejercicio de la función inspectora.
- No inscribir el fichero de datos de carácter personal en el Registro General de Protección de Datos cuando haya sido requerido para ello por el Director de la Agencia de Protección de Datos.
Son infracciones MUY GRAVES: Sancionables desde 50.000.001 a 100.000.000 ptas. (entre otros:)
- La recogida de datos de forma engañosa y fraudulenta.
- La comunicación o cesión de los datos de carácter personal, fuera de los casos en que estén permitidas.
- No atender u obstaculizar de forma sistemática el ejercicio de los derechos de acceso, rectificación, cancelación u oposición.
- No atender de forma sistemática el deber legal de notificación de la inclusión de datos de carácter personal en un fichero.
Sin otro particular, en espera de que la presente les sea de utilidad, ofreciéndonos para ayudarle a cumplir con esta nueva obligación legal y para cuantas dudas o cuestiones les merezca, aprovechamos la oportunidad para saludarles muy atentamente.