Guia Completa LOPD: Principis, Drets i Adaptació Empresarial

LOPD: Llei Orgànica de Protecció de Dades

L'objecte de la Llei Orgànica de Protecció de Dades (LOPD) és garantir i protegir els drets fonamentals i les llibertats públiques de les persones físiques, especialment pel que fa al seu honor i intimitat personal i familiar. L'àmbit d'aplicació s'estén a totes les persones en territori espanyol.

Principis Fonamentals de la LOPD

1. Qualitat de les dades: Les dades han de ser exactes i actualitzades. S'han de recollir amb criteri, per a una finalitat determinada, explícita i legítima, i el seu ús ha de ser definit i legítim. No es poden recollir per mitjans fraudulents, deslleials o il·lícits. No s'han d'utilitzar si no són necessàries per a la finalitat per a la qual van ser recaptades. Si deixen de ser útils, han de ser cancel·lades i eliminades.
2. Deure d'informació: El responsable del fitxer ha d'informar de manera prèvia, expressa, precisa i inequívoca sobre:
   • L'existència del fitxer o mitjà de tractament de dades.
   • La finalitat de la recollida de dades.
   • Les conseqüències d'obtenir les dades o de negar-se a subministrar-les.
   • La possibilitat d'exercir els drets d'accés, rectificació, cancel·lació i oposició (drets ARCO).
   • La identitat i adreça del responsable del tractament o, si escau, del seu representant.
3. Consentiment de l'afectat: És necessari el consentiment inequívoc de l'afectat, qui té l'última paraula. Aquest pot revocar el seu consentiment en qualsevol moment.
4. Dades especialment protegides: Es requereix un tractament especial per a les dades referents a ideologia, afiliació sindical, religió, creences, origen racial, salut o vida sexual.
5. Seguretat de les dades: El responsable del fitxer ha de garantir la seguretat de les dades, adoptant les mesures tècniques i organitzatives necessàries per evitar la seva alteració, pèrdua, tractament o accés no autoritzat. No es poden registrar dades si no es poden conservar de manera segura.
6. Deure de secret: El responsable del fitxer i totes les persones que intervinguin en qualsevol fase del tractament de les dades estan subjectes a l'obligació de secret professional, fins i tot després de finalitzar la seva relació amb el titular del fitxer.
7. Comunicació de les dades: Les dades només es poden comunicar a tercers amb l'autorització prèvia de l'interessat, tret de les excepcions legals.
8. Accés a les dades per terceres persones (encarregat del tractament): No es considera comunicació de dades l'accés d'un tercer a les dades quan aquest accés és necessari per a la prestació d'un servei al responsable del tractament. Aquesta relació ha d'estar regulada contractualment.

Drets dels Interessats segons la LOPD

Els interessats tenen els següents drets:

• Oposició al tractament de les seves dades.
• Impugnació de valoracions basades únicament en un tractament automatitzat de dades.
• Consulta al Registre General de Protecció de Dades.
• Accés a les seves dades personals.
• Rectificació i cancel·lació de dades inexactes o incompletes.
• Indemnització per danys i perjudicis causats per l'incompliment de la llei.

Adaptació de l'Empresa a la LOPD

L'adaptació a la LOPD és un requisit per a totes les empreses. Les empreses petites poden no requerir grans esforços per adaptar-se, però és crucial que els empleats coneguin i siguin conscients de la llei. Les empreses grans habitualment contracten serveis externs especialitzats.

Abans d'iniciar l'adaptació, és recomanable:

• Creació d'un equip de treball.
• Designació de personal col·laborador.
• Determinar funcions i responsabilitats.

Passos per a l'Adequació de l'Empresa

1. Anàlisi inicial de la situació de l'empresa respecte a la LOPD.
2. Localització i identificació de tots els fitxers que continguin dades personals.
3. Classificació i anàlisi legal dels fitxers identificats.
4. Determinació del nivell de seguretat a aplicar a cada fitxer (bàsic, mitjà o alt).
5. Elaboració del Document de Seguretat i, si escau, informe d'adaptació.
6. Implantació de les mesures de seguretat, adaptació dels processos i conscienciació del personal.
7. Inscripció i notificació dels fitxers a l'Agència Espanyola de Protecció de Dades (AEPD).
8. Auditoria de seguretat (obligatòria per a fitxers de nivell mitjà i alt) i manteniment continuat.

AEPD: Agència Espanyola de Protecció de Dades

L'Agència Espanyola de Protecció de Dades (AEPD) és un organisme públic amb personalitat jurídica pròpia i plena capacitat pública i privada, que actua amb independència de les administracions públiques en l'exercici de les seves funcions.

Funcions Principals de l'AEPD

• Per a les persones a les quals es refereixen les dades (interessats):
  • Atendre les seves peticions i reclamacions.
  • Informar sobre els seus drets en matèria de protecció de dades.
  • Promoure campanyes de difusió i conscienciació.
• Per a qui tracta les dades (responsables i encarregats):
  • Emetre autoritzacions previstes a la llei.
  • Requerir mesures de correcció.
  • Exercir la potestat sancionadora.
  • Ordenar el cessament dels tractaments de dades i la cancel·lació dels fitxers quan siguin il·legals.
  • Recaptar ajuda i informació que necessiti.
  • Autoritzar les transferències internacionals de dades.
• Elaboració de normes:
  • Assessorar el Govern i el Parlament en matèria de protecció de dades.
  • Dictar instruccions i recomanacions per adequar els tractaments a la LOPD.
• Telecomunicacions:
  • Tutelar els drets i les garanties dels abonats i usuaris en l'àmbit de les comunicacions electròniques.
• Altres funcions:
  • Cooperació internacional en matèria de protecció de dades.
  • Representació d'Espanya en fòrums internacionals sobre la matèria.
  • Publicar les dades necessàries per a la realització d'estadístiques oficials.

Registre General de Protecció de Dades

El Registre General de Protecció de Dades, gestionat per l'AEPD, té com a finalitat principal publicitar l'existència de fitxers que contenen dades de caràcter personal, per tal que qualsevol persona pugui informar-se i exercir els seus drets d'accés, rectificació, cancel·lació i oposició.

Objecte d'Inscripció al Registre

S'han d'inscriure al Registre General de Protecció de Dades:

• Els fitxers de les administracions públiques.
• Els fitxers de titularitat privada.
• Les autoritzacions de transferències internacionals de dades.
• Els codis tipus (codis de conducta sectorials).
• Les dades relatives als fitxers que siguin necessàries per a l'exercici dels drets d'informació, accés, rectificació, cancel·lació i oposició.

Paper Sancionador de l'AEPD

L'AEPD té la funció d'exercir la potestat sancionadora davant els incompliments de la LOPD. Les infraccions es classifiquen en lleus, greus i molt greus.

Infraccions Lleus

• No proporcionar la informació requerida per l'AEPD.
• No rectificar o cancel·lar les dades després d'una sol·licitud de l'afectat, si escau.
• No sol·licitar la inscripció del fitxer al Registre General de Protecció de Dades.
• Incomplir el deure de secret professional, si no constitueix una infracció greu.
• Recollir dades personals sense informar prèviament els afectats.

Infraccions Greus

• Recollir dades personals sense el consentiment exprés dels afectats o utilitzar-les per a una finalitat diferent per a la qual van ser recollides.
• Impedir o obstaculitzar l'exercici dels drets d'accés, rectificació, cancel·lació o oposició.
• Mantenir dades personals inexactes o no efectuar les rectificacions o cancel·lacions sol·licitades.
• Tractar dades personals sense adoptar les mesures de seguretat establertes reglamentàriament.
• Obstaculitzar l'exercici de la funció inspectora de l'AEPD.

Infraccions Molt Greus

• Recollir dades de manera fraudulenta, deslleial o enganyosa.
• Cedir o comunicar dades personals fora dels supòsits permesos per la llei o sense el consentiment de l'afectat.
• No cessar en l'ús il·legítim de les dades personals quan sigui requerit per l'AEPD o per l'afectat.
• La reincidència en la comissió d'infraccions greus.
• La transferència internacional de dades sense l'autorització de l'AEPD quan sigui preceptiva.