Como cumplir con la LOPD (protección de datos)

Como cumplir con la LOPD (protección de datos)

Llevar el departamento jurídico de varias empresas y estar adscrito al turno de oficio lleva aparejada la llevanza de multitud de asuntos de toda índole y pelaje. Desde complejos expedientes administrativos, hasta asuntos relativos a la responsabilidad penal de menores, pasando por divorcios, reclamaciones de cantidad o los, por desgracia, tan frecuentes despidos.

A modo meramente ejemplificativo y, como si de un ejercicio de limpieza espiritual se tratara, voy a exponer en esta página alguno de los asuntos que he llevado en mi despacho o que actualmente están en trámite que pueden resultar curiosos o especialmente de interés.

Quiero empezar con un asunto de una materia sobre la que recae mucho desconocimiento, no solo por parte de la mayoría de mis compañeros, sino también por la gran mayoría de los ciudadanos.

La Ley Orgánica de Protección de Datos y el Reglamento que la desarrolla establecen una serie de obligaciones y operativas que deben llevar a cabo todas las empresas y autónomos de España que manejen datos de carácter personal de terceras personas. Es decir, desde la pequeña tienda de comestibles de barrio que solo cuenta con sus tres proveedores y los pocos clientes de los alrededores, hasta la multinacional más grande que se puedan imaginar y que tenga su sede en España. La excusa de que “pero mi empresa es muy pequeñita” no vale para la Agencia Española de Protección de Datos (AEPD).

Entre las obligaciones que se establecen se encuentran, entre otras, inscribir los ficheros que manejen en el Registro General de la AEPD, tener el llamado “documento de seguridad” (del que ya hablaré largo y tendido en otra ocasión) y realizar una auditoría cada dos años cuando se manejen ciertos tipos de datos susceptibles de más amparo.

Pues bien y como digo, a modo de ejemplo, voy a narrar de forma muy breve uno de los primeros asuntos que llevé en esta tan desconocida materia.

Un particular denunció a mi cliente, una empresa llamada X de un pueblo de Madrid por el envío de publicidad postal no deseada. Es decir, el denunciante se había encontrado en su buzón una carta a su nombre en la que figuraba en su interior un folleto publicitario en el que la empresa X anunciaba sus servicios.

Objetivamente, no se podía refutar el hecho de que la carta estuviese dirigida al denunciante, por lo que intenté encauzar la defensa técnica del asunto desde otro punto de vista. Si únicamente hubiese recibido el folleto sin estar metido en un sobre a nombre del denunciante, la empresa X no se hubiese visto envuelta en ese procedimiento.

Finalmente, mis alegaciones se basaron en que los datos identificativos que consiguió mi cliente para enviar esa publicidad los obtuvo de una fuente de acceso público, en particular, de una lista de personas pertenecientes a grupos de profesionales, que es uno de los supuestos que excepcionan la necesidad de consentimiento para el tratamiento de datos de carácter personal. Detallo que, según la ley, se consideran “fuentes de acceso público” aquellos ficheros cuya consulta puede ser realizada, por cualquier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación. Estas alegaciones fueron estimadas y la mercantil X fue eximida de toda responsabilidad.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *