Preguntas frecuentes

¿Qué obligaciones tiene una Gestoría que trata datos personales que le ceden sus clientes con el fin de confeccionar las nóminas o realizar la facturación?

Una Gestoría que realice ese tipo de actividades es considerada por la LOPD como el encargado del tratamiento el cual está obligado a suscribir un contrato con el responsable del tratamiento (su cliente) en el que deberá establecerse que la Gestoría únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas. En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el art. 9 de la LOPD que la Gestoría está obligada a implementar. Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento. 

¿Debo obligatoriamente inscribir los ficheros manuales o en papel (listados, fichas, etc...)?

El soporte papel (como son los listados o las fichas) entra dentro de la definición de soportes físicos en general. Desde octubre del año 2007 es obligatoria la inscripción de ficheros manuales o en soporte papel, cualquiera que fuera su fecha de creación.

Si voy a recabar los datos de un cliente, ¿debo de informarle de algo?

El artículo 5 establece con todo detalle el derecho que asiste a toda persona cuyos datos van a ser incorporados a un fichero de ser informada de todos los aspectos que conciernen al almacenamiento de sus datos personales y el tratamiento a que van a ser sometidos. Más concretamente, los interesados deberán ser informados "de modo expreso, preciso e inequívoco" de los siguientes aspectos: a. De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información. b. Del carácter obligatorio o facultativo de su respuesta a las preguntas que le sean planteadas. c. De las consecuencias de la obtención de los datos o de la negativa a suministrarlos. d. De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición. De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.” El modo en el que cumplamos con este precepto no es tratado en la LOPD. Podemos incluir cláusulas informativas, grabaciones sonoras, comunicárselo directamente, etc..

No tengo datos de carácter informatizado porque carezco de ordenadores. ¿Me afecta la normativa igualmente?

Nos remitimos a anteriores respuestas en el sentido de la obligatoriedad de cumplir con la Ley si tengo un solo dato de carácter personal. En cualquier caso, existen ciertas obligaciones para los datos en soporte papel. La LOPD establece que se aplicará a todos los ficheros sin restricción alguna, independientemente del soporte en el cual sean tratados.

No tengo demasiados datos y además creo que son de nivel básico, porque solo tengo información referida a nombre, apellidos, o dirección de mis clientes y/o empleados. En tal caso, ¿estoy especialmente obligado a cumplir con la LOPD?

Si. La experiencia nos dice que no en todos los casos el empresario es consciente del grado de sensibilidad de los datos que tiene. Por ejemplo, existen datos de afiliación sindical, bajas laborales, datos de carácter sanitario o Currículums Vitae que hace que las empresas estén específicamente obligadas a cumplir con esta Ley.

¿Qué pasa si no cumplo con la normativa de protección de datos?

Existe un riesgo de que nuestra empresa sea sancionada. En nuestro país tenemos el régimen sancionador mas alto de Europa, con sanciones que oscilan entre los 600 y los 600.000 €. Las inspecciones que la APD realiza pueden ser de oficio o a instancia de parte. Desde el año 92 la Agencia viene sancionando tanto a organismos públicos como privados, independientemente del volumen de facturación de la empresa o del objeto social de la misma. Se ha sancionado a videoclubs, médicos, diputaciones, ayuntamientos, distribuidoras, entidades financieras, etc…

¿Puede un cliente descontento y/o empleado denunciar a mi empresa ante la Agencia de Protección de Datos?

Es uno de los casos mas frecuentes. Los clientes y/o empleados descontentos son conscientes de esta norma y de los derechos que les asisten, y dado el alto grado de incumplimiento entre las empresas, muchos de ellos instan a la APD para ejercitar derechos que le son reconocidos y que no son satisfechos en las debidas condiciones.

Puedo ceder los datos a terceros? Qué requisitos se pide para poder cederlos?

Por regla general, NO se pueden ceder los datos a terceros. Sin embargo, la regla general está sometida a muchas y variadas excepciones. La LOPD define la cesión o comunicación como toda revelación de datos realizada a una persona distinta del afectado o interesado. Si mi empresa quiere ceder a un tercero los datos personales almacenados en los ficheros, debe cumplir dos requisitos como regla general:

  1. Informar al titular de los datos del tipo de actividad a la que se dedica el tercero o la finalidad para la que este tercero va a tratar sus datos.
  2. Obtener el consentimiento previo del afectado.

Son cesiones legales las comunicaciones de los datos personales que están amparadas por una ley que autoriza la cesión. En estos supuestos, mi empresa no tiene la obligación de informar ni de obtener el consentimiento previo del titular de los datos. Constituyen cesiones legales: la comunicación de los datos de los trabajadores que mi empresa realiza a la Seguridad Social, o los datos que me soliciten los Juzgados o Tribunales. Son dos ejemplos muy válidos.

¿La Agencia de Protección de Datos puede inspeccionar mi negocio sin que haya denuncia de por medio?

En muchas ocasiones, la APD realiza inspecciones sectoriales para comprobar el grado de cumplimiento en determinados sectores. Por ejemplo, este año los hoteles están siendo inspeccionados. Anteriormente fueron objeto de inspecciones el sector financiero o empresas que se dedicaban al comercio electrónico.

¿Qué pasa si no me someto a una auditoría cada dos años?

El no cumplir con alguna de las medidas del Real Decreto 1720/2007 está tipificado como “falta grave”, con una sanción que oscilará entre los 60.000 y los 300.000 €. Una de esas obligaciones es la referida a la “auditoría bianual”.