En esta primera entrega de nuestro especial sobre la LOPD, vamos a empezar a tratar los conceptos que se manejan en el Real Decreto 1720/2007 que desarrolla la ley. Explicarlos nos va a permitir entender mejor los casos prácticos que más adelante abordaremos.
Las definiciones que figuran en el artículo 5 del Real Decreto no son más que la explicación de lo que entiende el legislador que significan determinados términos como dato de carácter personal o encargado del tratamiento, por poner dos ejemplos.
En lugar de seguir el orden alfabético que marca el texto legal, hemos preferido agrupar estas definiciones por temáticas, por decirlo de alguna forma, explicando en cada entrega aquellas que tienen cierta relación entre sí.
Sin más preámbulos, entramos en materia con las distintas definiciones referidas a datos: de carácter personal, disociados y aquellos relacionados con la salud.
Definiciones referidas a datos
- Datos de carácter personal: cualquier información concerniente a personas físicas que o bien la identifiquen directamente o que permitan hacerlo. Este último sería el caso, por ejemplo de un fichero que sólo contuviera DNI, como comentamos hace unos días. Este dato no identifica a la persona por sí mismo, pero la hace fácilmente identificable, lo que hace que tenga al consideración de dato de carácter personal. Los datos pueden ser de cualquier tipo, una foto, un archivo de vídeo o sonido, numéricos, textos, etc.
Ejemplos de estos datos serían los pertenecientes a clientes si estos son personas, no empresas. Pero atención, también los ficheros con datos de trabajadores incluyen datos personales (algunos de ellos protegidos especialmente, como veremos más adelante), así como pueden contenerlos también los de empresas proveedoras/suministradoras o empresas que son clientes de la nuestra.
Así, aunque nuestros clientes sean exclusivamente sociedades no podemos descartar directamente la obligación de aplicar la ley sobre los ficheros que contengan datos sobre ellas, tenemos que analizar cuáles son esos datos y ver si alguno de ellos se considera dato personal
- Datos disociados: son aquellos datos que por sí mismos no permiten la identificación del afectado o interesado. Esto tiene su importancia cuando nos planteamos la posibilidad de ceder los datos, y os explico.
Imaginemos que tenemos una base de datos de clientes en la que en uno de sus ficheros, junto al nombre de cada cliente, aparece su teléfono, edad y sexo, por ejemplo, junto al dinero que se ha gastado en adquirir mis productos. Yo quiero que un tercero, otra empresa, me haga un estudio para averiguar quienes gastan más dinero en mi compañía, los hombres o las mujeres.
Bien, si yo le entrego a esta empresa el fichero con todos los datos, que identifican claramente a estos clientes, estoy realizando una cesión de datos, y si no tengo consentimiento previo de mis clientes, podría tener problemas por ello.
Sin embargo, para realizar el estudio únicamente necesitan el sexo y el dinero que se ha gastado cada persona, no su nombre ni otros datos. Si les entrego únicamente estos datos no estoy incurriendo en esa cesión que comentábamos, puesto que con estos datos no pueden identificar a mis clientes, son datos disociados.
- Datos de carácter personal relacionados con la salud: las informaciones que hacen referencia a la salud pasada, presente y futura, física y mental de una persona. Menciona en particular aquellos datos que hacen referencia al porcentaje de discapacidad o a la información genética.
¿Por que diferencia estos de los anteriores? Pues, entre otras cosas, por que considera estos datos como especialmente protegidos, lo que implica la obligación de aplicar unas medidas mucho más estrictas para su tratamiento (tema que abordaremos más adelante).
Podría parecer que en una pyme que no trabaje en el ámbito sanitario no se van a tratar este tipo de datos, pero no es una situación tan descabellada. Un ejemplo:
Tengo un fichero con el que gestiono los datos para elaborar las nóminas de los empleados de la empresa. Entre los datos que se incluyen en él están los datos fiscales que necesito para cumplimentar declaraciones (modelo 190), y entre ellos figura el grado de discapacidad del trabajador. Ya tenemos un fichero que contiene un dato especialmente protegido relacionado con la salud.
Aquí terminamos con la primera entrega de este especial. En la siguiente analizaremos las definiciones relacionadas con ficheros, automatizados, no automatizados y de titularidad pública o privada.
En Tecnología Pyme | LOPD: Guías prácticas y conceptos básicos