9 minute read
1.2. Aplicación de la Ley Orgánica de Protección de Datos (LOPD
from MF1425_2 Manejo de herramientas, técnicas y habilidades para prestar el servicio de teleasistencia
contraseña personal e intransferible. Como vemos, el indebido uso de los datos es constitutivo de delito, y si como profesionales nosotros mismos no gestionamos dichos datos adecuadamente, esto puede considerarse una falta disciplinaria, puesto que estaríamos violando una serie de derechos fundamentales.
Para hacernos una idea global de este punto debemos partir de una norma suprema del ordenamiento jurídico, la Constitución Española. Esta, en su artículo 18, establece el derecho a la intimidad de las personas y señala:
Advertisement
18.1. Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen.
4. La Ley limitará el uso de la Informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.
Existe un temor del uso irresponsable de los datos personales que son facilitados para diversas entidades privadas y/o organismos públicos patente en nuestra sociedad. Debemos ser conscientes de que la informatización de nuestros datos personales es hoy en día habitual, debido al rápido avance de las tecnologías. Estas permiten una comunicación sencilla y rápida entre las entidades, lo que facilita el transporte de información entre unas y otras. Sin embargo, en algunos casos esto se realizaba sin el consentimiento de las propias personas «propietarias» de estos datos.
Tenemos que señalar que uno de los principales derechos de los usuarios del servicio de teleasistencia es el respeto a su intimidad y a la confidencialidad de sus datos personales. Conforme al principio general de autodeterminación de las personas, estas pueden decidir sobre el trato que reciben en el ámbito de su intimidad y averiguar quiénes tienen acceso a la documentación relativa a sus datos personales, médicos, sociales, bancarios, etc. Nace así la Ley Orgánica, de 13 de diciembre, de Protección de Datos de Carácter Personal (que derogó la antigua LORTAD de 1992), cuya finalidad es la de garantizar y proteger el tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, especialmente con el fin de preservar el honor, la intimidad
personal y familiar y el pleno ejercicio de los derechos personales frente a su alteración, pérdida, tratamiento o acceso no autorizado a los datos de carácter personal registrados en cualquier tipo de soporte físico susceptible de ser tratado (ya sea informático o manual).
Con esta ley surgen una serie de obligaciones para aquellas entidades públicas o privadas que posean ficheros con datos de carácter personal. Asimismo, el reglamento de desarrollo de la LOPD (RD 1720/2007) establece la obligación para todas las organizaciones de poner en marcha diversas medidas destinadas a garantizar la protección de dichos datos, lo que afecta a sistemas informáticos, locales, soportes de almacenamiento, personal, procedimientos operativos, etc.
Como profesionales del servicio de teleasistencia, obraremos en este sentido atendiendo a la importancia que la intimidad tiene para todos los usuarios, lo que implica distinguir los aspectos que para cada usuario forman parte de su intimidad, lo que puede ser una consideración subjetiva (situaciones que para una persona pueden derivar en una vulneración de su intimidad, para otras pueden no resultar de gran importancia). Cada individuo decide los aspectos que están dentro y fuera de su intimidad y con quién quiere compartirlos, hecho que no tiene porqué coincidir con la valoración del profesional.
La vulneración del secreto profesional (falta de confidencialidad de datos de carácter personal y respeto a la intimidad) puede conllevar la inhabilitación profesional así como diversas sanciones reguladas por la legislación vigente en esta materia.
LEY ORGÁNICA PROTECCIÓN DE DATOS
REGULA MEDIDAS DE PROTECCIÓN EN:
FICHEROS QUE CONTENGAN DATOS PERSONALES
FICHEROS QUE CONTENGAN DATOS ESPECIALMENTE PROTEGIDOS
(EJ.: RELATIVOS A LA SALUD) LO RELATIVO AL CONSENTIMIENTO DEL TITULAR PARA DISPONER DE DATOS
Se señalan por tanto una serie de disposiciones concretas para que en los centros de atención de llamadas aseguren estos derechos fundamentales, no solo
para los usuarios sino también para los profesionales que obran en ellos. De este modo, los expedientes que operan en el servicio deben estar protegidos en la categoría de máxima confidencialidad, tal y como refiere la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
En el expediente individual, que puede presentarse en soporte papel o digital, se adjuntan todos los documentos en los que se señalan las particularidades del usuario:
Informes de condiciones de salud.
Documentación administrativa.
Informe de situación sociofamiliar, etc.
Si los datos del usuario se encuentran en soporte papel deberán estar únicamente disponibles para el personal autorizado y guardados bajo una serie de medidas de seguridad. En caso de que se encuentren informatizados, será imprescindible una contraseña para el acceso a los mismos.
En este punto es necesarios revisar las medidas de seguridad en función de los datos manejados, así como el tipo de infracciones y sanciones ante tales circunstancias:
NIVEL DE PROTECCIÓN
BÁSICO
TIPO DE DATOS
Atañe a todos aquellos datos o ficheros de carácter personal. • Datos relativos a: religión, raza, ideología, afiliación sindical, creencias, datos sanitarios o vida sexual (siempre que la finalidad sea llevar a cabo una transferencia bancaria a entidades de las que los afectados sean partícipes, o casos de ficheros que de forma accesoria contengan estos datos). • Grado de discapacidad únicamente para cumplir deberes públicos.
MEDIDAS DE SEGURIDAD OBLIGATORIAS
• Documento de seguridad • Sistema claro de funciones y obligaciones de los trabajadores. • Control y registro de incidencias. • Identificación y autenticación de usuarios.
• Supervisión e inspección de acceso a datos.
• Gestión de soportes. • Copias de seguridad y recuperación, verificación semestral.
• Almacenaje de ficheros o datos en formato papel bajo llave. • Simulación o pruebas sin datos reales.
MEDIO
ALTO • Infracciones: administrativas o penales. • Información sobre solvencia patrimonial y crédito, así como ejecución o no de obligaciones económicas.
• Datos relativos a administraciones tributarias.
• Ejecución de servicios financieros.
• Ejecución de competencias recaudatorias, en gestores y servicios comunes de la Seguridad Social.
• Definición del comportamiento, las características o de la personalidad. • Datos relativos a: religión, raza, ideología, afiliación sindical, creencias, datos sanitarios o vida sexual.
• Finalidad policial carente de consentimiento.
• Hechos relativos a la violencia doméstica.
• Datos de tráfico y de localización en operarios de servicios de comunicaciones electrónicas. • Todas las medidas de seguridad presentes en el nivel básico. • Designación de un responsable de seguridad. • Auditoría: dos veces al año. • Medidas de identificación y autenticación de usuarios (restricción en el número de intentos de acceso) y controles de acceso físico.
• Normas adicionales de gestión de soportes: registros de entrada y salida. • Registro de incidencias.
• Todas las medidas de seguridad presentes en los niveles básico y medio • Cifrado de soportes. • Registro de todos los accesos, tanto para ficheros automatizados como en soporte papel. • Medidas adicionales: copias de seguridad en distintas ubicaciones.
• Cifrado de telecomunicaciones. • Almacenaje de ficheros o datos en formato papel bajo llave con acceso restringido.
Infracciones y sanciones presentes en la LOPD
Se fijan una serie de sanciones dirigidas a aquellos que se constituyen como responsables de los ficheros que contengan datos de carácter personal, atendiendo al tipo de infracción cometida. Estas se pueden catalogar en leves, graves y muy graves.
La cuantía de las mismas se dictaminará en función de los derechos dañados, la magnitud de tratamientos realizados, las ganancias logradas, el nivel de intencionalidad, su reincidencia, los daños y perjuicios provocados así como cualquier otro hecho o circunstancia relevante con el objeto de valorar el grado de incumplimiento de la normativa.
A continuación podemos ver la clasificación de estas infracciones y sus sanciones:
TIPO DE
INFRACCIÓN
LEVE
GRAVE
INFRACCIÓN COMETIDA
• Desatender una solicitud de rectificación o cancelación.
• No anotar el fichero en el RGPD.
• No aportar información (según art. 5 LOPD) en el momento de recopilar sus datos.
• Violar la obligación de secreto del art. 10 LOPD. • Generar un fichero público o iniciar la recopilación de datos sin que la disposición general haya sido publicada en el Boletín Oficial.
SANCIÓN
Multa de 601 a 60101 euros.
• Generar fichero privado o iniciar la recopilación de datos con finalidad distinta del objeto empresarial.
• Recopilar datos sin el consentimiento expreso. • Consultar o usar los datos violando principios de la LOPD o del RD 1720/2007.
• Imposibilitar o entorpecer la actuación del derecho de acceso y oposición.
• Custodiar datos erróneos o no rectificarlos o cancelarlos cuando influya en los derechos de las personas.
• Violar el deber de secreto en ficheros de nivel medio. Multa de 60101 a 300506 euros.
• Custodiar los ficheros, mantener locales, programas o equipos que no cumplen las condiciones de seguridad del RD 1720/2007.
• No aportar a la Agencia Estatal de Protección de Datos (AEPD) documentos solicitados o entorpecer una inspección.
• No registrar el fichero en el Registro General de Protección de Datos (RGPD), requerido por la AEPD.
• No proporcionar información al afectado, según los art. 5, 28 y 29 LOPD, si han sido recabados de persona distinta del afectado.
MUY GRAVE • Recopilar datos de forma irreal y fraudulenta. • Facilitar o comunicar datos, si no está permitido. • Recopilar y manejar datos especialmente protegidos sin consentimiento o cuando se trate de una excepción LOPD.
• No suspender o finalizar el uso o tratamiento ilegal de datos tras el requerimiento por parte de la AEPD o el afectado.
• Trasladar temporal o definitivamente datos a países no homologados, sin autorización previa de la AEPD.
• Emplear datos de forma ilegal o con desconsideración, sobre principios y garantías, cuando se obstaculice o se transgreda el ejercicio de derechos fundamentales. Multa de 300506 a 601012 euros.
• Violar el deber de secreto sobre datos especialmente protegidos o de nivel alto.
• No prestar atención o impedir de forma reiterada el ejercicio de derechos de acceso, rectificación, cancelación y oposición.
• No considerar de forma reiterada el deber de notificar al afectado la inclusión en un fichero.
La conclusión de lo expuesto hasta ahora es que el teleoperador de un servicio de teleasistencia tiene a su disposición una serie de materiales, un equipamiento basado en las nuevas tecnologías que debe manipular y emplear adecuadamente a fin de gestionar las llamadas que entren y salgan de la central de atención.
Debemos ser conscientes de que este servicio dispone de una aplicación informática concreta donde se muestran los datos de los usuarios y desde la cual gestionamos las llamadas, por lo que, para acceder a esta aplicación, resulta básico y fundamental el uso personal para cada teleoperador de un usuario y contraseña. Estas garantizan la protección del expediente del usuario.
En este sentido, cada trabajador debe ser consciente de las implicaciones que conlleva el manejo de datos personales y, por tanto, la magnitud o envergadura de la confidencialidad de los mismos, así como entender que su uso es personal e intransferible. El mal uso del servicio puede considerarse una falta disciplinaria, puesto que se vulneran derechos fundamentales.
En el siguiente apartado señalaremos la importancia de la protección de
