La Protección de Datos en el sector de la Construcción.
10 views
Skip to first unread message
ApCpD
Aug 31, 2010, 4:17:08 AM8/31/10
to Asociación Profesional de Consultores en Protección de Datos
Uno de los casos más claros en los que la LEY DE PROTECCION DE DATOS
afecta a las EMPRESAS CONSTRUCTORAS se pone de manifiesto cuando
estas empresas manejan datos de accidentes laborales que pueden, por
ejemplo, revelar el cuadro de salud de un empleado, y todas las
constructoras en algún momento hacen uso de la subcontrata, lo que
agrava la situación.
Cada día que pasa la cultura de la protección de datos aumenta, y con
ella la preocupación por el hecho
de que nuestros datos sean almacenados según los criterios de
confidencialidad preceptuados por la Ley
Orgánica 15/1999. El empresario que no tiene esta realidad presente
está en el punto de mira de la Agencia de
Protección de Datos y principalmente de sus propios clientes. La Ley
Orgánica de Protección de Datos tiene una amplia aplicación, teniendo
en cuenta que casi todos manejamos datos personales. Es una ley que
impone sanciones de hasta 600.000 euros a las empresas que la
incumplen. La gran mayoría de las penalizaciones obedecen a
negligencias ocasionadas por la falta de conocimiento de la normativa
o por no haber adoptado las medidas impuestas por la misma.
La LOPD trata específicamente de proteger la intimidad, que es una
garantía constitucional expresa en la
Constitución Española de 1978 en su artículo 18.4: "la ley limitará el
uso de la informática para garantizar el honor
y la intimidad personal y familiar de los ciudadanos y el pleno
ejercicio de sus derechos”. Por ese motivo, se
ha definido un marco legal dentro del que deben actuar las personas
jurídicas o personas físicas en el ejercicio de sus actividades
profesionales. Como derecho fundamental que es, su principal enfoque
está en asegurar el honor y la intimidad personal de los ciudadanos
cuyos datos son manejados por los demás. La LOPD tiene por objetivo
impedir que los datos de carácter personal sean utilizados con fines
distintos para los cuales fueron recabados, de forma que cualquier
tipo de cesión de datos debe ser comunicada al interesado previamente.
La normativa de protección de datos de carácter personal también
obliga a una serie de procedimientos que ofrecen una mayor seguridad
de los tratamientos informatizados de los datos, tal y como ocurre en
los casos expuestos a continuación.
EXISTEN TRES TIPOS DE DATOS
El hecho de tener contratada a una gestoría para realizar las nóminas,
obliga al Responsable del Fichero a
establecer un contrato con el gestor de las nóminas que, según la
normativa de protección de datos, es denominado Encargado del
Tratamiento (art.12. 2 de la Ley 15/1999). Los Responsables de los
Ficheros están obligados a dar de alta los ficheros en la base de
datos de la Agencia Española de Protección de Datos (artículo 26 Ley
Orgánica 15/1999). Sin embargo, sólo inscribir los ficheros no
significa que la empresa esté cumpliendo con la normativa, también hay
que adoptar una serie de medidas que garanticen el cumplimiento de
manera efectiva.
La legislación establece distintos niveles de tratamiento según el
tipo de datos manejados. Los niveles de
seguridad se subdividen en tres tipologías:
• Nivel Básico: son los datos puramente identificativos, como por
ejemplo, nombre, direcciones de
contacto (incluye los emails) y teléfonos.
Además de la inscripción de los ficheros en la Agencia Española de
Protección de Datos, es obligatorio
que la empresa elabore un Documento de Seguridad que regule la parte
de la seguridad FFAA y FFNNAA. En este sentido, el Real Decreto
994/1999 fija los procedimientos que deberán seradoptados por el
Responsable del Fichero en el Documento de Seguridad.
El Documento de Seguridad es obligatorio para todos los que quieran
cumplir debidamente con la Ley de
Protección de Datos.
• Nivel Medio: son los datos relacionados con la comisión de
infracciones penales, infracciones administrativas
e información relativa a la Hacienda Pública.
En este nivel, el Documento de Seguridad deberá acumular las medidas
del nivel básico y del nivel de
seguridad medio.
Este nivel de seguridad presupone también la realización de auditorías
(art. 17 del Real Decreto 994/1999),
al menos cada 2 años.
• Nivel Alto: este nivel de seguridad abarca los datos considerados
especialmente protegidos según la legislación: ideología, salud,
religión, creencias, filiación sindical y origen racial.
De acuerdo con el nivel que tenga el fichero, se establecerá un tipo
de tratamiento de cara a garantizar la
confidencialidad de los datos manejados.
Tal como se ha mencionado anteriormente, en este nivel las medidas
acumulan las adoptadas en el nivel
básico y en el nivel medio.
Asimismo, la empresa estará obligada a utilizar mecanismos de
encriptación y cifrado de los datos y las copias de seguridad deberán
estar ubicadas en sitios distintos al emplazamiento principal.
ACCIDENTES LABORALES, INFORMACIÓN ESPECIALMENTE DELICADA
En el caso de las constructoras, la LOPD les afecta por el simple
hecho de tratar datos personales en sus
tareas rutinarias y, principalmente, porque esta actividad presupone,
en muchas ocasiones, el manejo de datos
de accidentes laborales que pueden, por ejemplo, revelar un cuadro de
salud de un determinado empleado.
Al manejar datos de carácter sensible, el Responsable del fichero
estará obligado a adoptar una serie
de medidas técnico-organizativas, pertenecientes al nivel alto de
seguridad.
La empresa manejadora de datos de salud o de minusvalía será la gran
responsable de la “salvaguardia” de
estos datos y es muy importante que conozca y respete todas las
medidas aseguradoras, pues una postura que
no esté acorde con la legislación podrá acarrear una fuerte sanción
por parte de la Agencia Española de Protección de Datos.
SUBCONTATACION
Hasta la entrada en vigor de la Ley de Subcontratación, una práctica
habitual entre las constructoras e
instaladoras indistintamente era la subcontratación y con esto la
cesión de datos de sus empleados sin tener
en cuenta que esos trabajadores deberían prestar su consentimiento
previo.
Otra práctica que puede acarrear muchísimos problemas a las empresas
es la de ceder datos de empleados
que sufrieron alguna lesión en el desarrollo de su labor sin
comunicación previa y consentimiento expreso del
afectado. Hay que recordar que las cesiones deben contar con el
consentimiento tácito o por escrito (este
último, en caso de cesión de datos especialmente protegidos, según los
artículos 7.2 y 7.3 de la Ley Orgánica
15/1999). El envío de datos sin contar con el conocimiento y
consentimiento previo del afectado es considerado
una infracción grave (art. 44, 3, C dela Ley 15/1999).
afecta a las EMPRESAS CONSTRUCTORAS se pone de manifiesto cuando
estas empresas manejan datos de accidentes laborales que pueden, por
ejemplo, revelar el cuadro de salud de un empleado, y todas las
constructoras en algún momento hacen uso de la subcontrata, lo que
agrava la situación.
Cada día que pasa la cultura de la protección de datos aumenta, y con
ella la preocupación por el hecho
de que nuestros datos sean almacenados según los criterios de
confidencialidad preceptuados por la Ley
Orgánica 15/1999. El empresario que no tiene esta realidad presente
está en el punto de mira de la Agencia de
Protección de Datos y principalmente de sus propios clientes. La Ley
Orgánica de Protección de Datos tiene una amplia aplicación, teniendo
en cuenta que casi todos manejamos datos personales. Es una ley que
impone sanciones de hasta 600.000 euros a las empresas que la
incumplen. La gran mayoría de las penalizaciones obedecen a
negligencias ocasionadas por la falta de conocimiento de la normativa
o por no haber adoptado las medidas impuestas por la misma.
La LOPD trata específicamente de proteger la intimidad, que es una
garantía constitucional expresa en la
Constitución Española de 1978 en su artículo 18.4: "la ley limitará el
uso de la informática para garantizar el honor
y la intimidad personal y familiar de los ciudadanos y el pleno
ejercicio de sus derechos”. Por ese motivo, se
ha definido un marco legal dentro del que deben actuar las personas
jurídicas o personas físicas en el ejercicio de sus actividades
profesionales. Como derecho fundamental que es, su principal enfoque
está en asegurar el honor y la intimidad personal de los ciudadanos
cuyos datos son manejados por los demás. La LOPD tiene por objetivo
impedir que los datos de carácter personal sean utilizados con fines
distintos para los cuales fueron recabados, de forma que cualquier
tipo de cesión de datos debe ser comunicada al interesado previamente.
La normativa de protección de datos de carácter personal también
obliga a una serie de procedimientos que ofrecen una mayor seguridad
de los tratamientos informatizados de los datos, tal y como ocurre en
los casos expuestos a continuación.
EXISTEN TRES TIPOS DE DATOS
El hecho de tener contratada a una gestoría para realizar las nóminas,
obliga al Responsable del Fichero a
establecer un contrato con el gestor de las nóminas que, según la
normativa de protección de datos, es denominado Encargado del
Tratamiento (art.12. 2 de la Ley 15/1999). Los Responsables de los
Ficheros están obligados a dar de alta los ficheros en la base de
datos de la Agencia Española de Protección de Datos (artículo 26 Ley
Orgánica 15/1999). Sin embargo, sólo inscribir los ficheros no
significa que la empresa esté cumpliendo con la normativa, también hay
que adoptar una serie de medidas que garanticen el cumplimiento de
manera efectiva.
La legislación establece distintos niveles de tratamiento según el
tipo de datos manejados. Los niveles de
seguridad se subdividen en tres tipologías:
• Nivel Básico: son los datos puramente identificativos, como por
ejemplo, nombre, direcciones de
contacto (incluye los emails) y teléfonos.
Además de la inscripción de los ficheros en la Agencia Española de
Protección de Datos, es obligatorio
que la empresa elabore un Documento de Seguridad que regule la parte
de la seguridad FFAA y FFNNAA. En este sentido, el Real Decreto
994/1999 fija los procedimientos que deberán seradoptados por el
Responsable del Fichero en el Documento de Seguridad.
El Documento de Seguridad es obligatorio para todos los que quieran
cumplir debidamente con la Ley de
Protección de Datos.
• Nivel Medio: son los datos relacionados con la comisión de
infracciones penales, infracciones administrativas
e información relativa a la Hacienda Pública.
En este nivel, el Documento de Seguridad deberá acumular las medidas
del nivel básico y del nivel de
seguridad medio.
Este nivel de seguridad presupone también la realización de auditorías
(art. 17 del Real Decreto 994/1999),
al menos cada 2 años.
• Nivel Alto: este nivel de seguridad abarca los datos considerados
especialmente protegidos según la legislación: ideología, salud,
religión, creencias, filiación sindical y origen racial.
De acuerdo con el nivel que tenga el fichero, se establecerá un tipo
de tratamiento de cara a garantizar la
confidencialidad de los datos manejados.
Tal como se ha mencionado anteriormente, en este nivel las medidas
acumulan las adoptadas en el nivel
básico y en el nivel medio.
Asimismo, la empresa estará obligada a utilizar mecanismos de
encriptación y cifrado de los datos y las copias de seguridad deberán
estar ubicadas en sitios distintos al emplazamiento principal.
ACCIDENTES LABORALES, INFORMACIÓN ESPECIALMENTE DELICADA
En el caso de las constructoras, la LOPD les afecta por el simple
hecho de tratar datos personales en sus
tareas rutinarias y, principalmente, porque esta actividad presupone,
en muchas ocasiones, el manejo de datos
de accidentes laborales que pueden, por ejemplo, revelar un cuadro de
salud de un determinado empleado.
Al manejar datos de carácter sensible, el Responsable del fichero
estará obligado a adoptar una serie
de medidas técnico-organizativas, pertenecientes al nivel alto de
seguridad.
La empresa manejadora de datos de salud o de minusvalía será la gran
responsable de la “salvaguardia” de
estos datos y es muy importante que conozca y respete todas las
medidas aseguradoras, pues una postura que
no esté acorde con la legislación podrá acarrear una fuerte sanción
por parte de la Agencia Española de Protección de Datos.
SUBCONTATACION
Hasta la entrada en vigor de la Ley de Subcontratación, una práctica
habitual entre las constructoras e
instaladoras indistintamente era la subcontratación y con esto la
cesión de datos de sus empleados sin tener
en cuenta que esos trabajadores deberían prestar su consentimiento
previo.
Otra práctica que puede acarrear muchísimos problemas a las empresas
es la de ceder datos de empleados
que sufrieron alguna lesión en el desarrollo de su labor sin
comunicación previa y consentimiento expreso del
afectado. Hay que recordar que las cesiones deben contar con el
consentimiento tácito o por escrito (este
último, en caso de cesión de datos especialmente protegidos, según los
artículos 7.2 y 7.3 de la Ley Orgánica
15/1999). El envío de datos sin contar con el conocimiento y
consentimiento previo del afectado es considerado
una infracción grave (art. 44, 3, C dela Ley 15/1999).
Reply all
Reply to author
Forward
0 new messages