LOPD: Greatest Hits (Vol. III)
Volvemos a la carga con la tercera edición de curiosidades de nuestra querida LOPD con la firme intención de dejar ojiplático al lector y, si pudiera ser, arrancar alguna que otra sonrisa de complicidad.
Vista la obligación de inscripción de ficheros, el principio de calidad y el deber de información en nuestra primera entrega; y la obtención del consentimiento en la segunda, hoy le toca el turno a… los “Datos Especialmente Protegidos”.
¿Sabías que…
… el simple hecho de dejar por escrito que una persona está afiliada a un partido político, o a un sindicato (aunque haga gala de ello), es un dato especialmente protegido además obliga a adoptar las más estrictas medidas de seguridad?
A pesar de que estar afiliado a dichas organizaciones implica un apoyo incondicional y manifiesto (algo que a algunos les puede llenar de orgullo y satisfacción), si nos dedicásemos a crear un Excel con nombres y apellidos de afiliados, tendríamos un fichero con datos especialmente protegidos, que deben ser recabados con consentimiento expreso y por escrito, y al que le tendríamos que aplicar las medidas de seguridad de nivel alto (y un Excel no permite alcanzar este nivel). De todas formas, la LOPD prohíbe crear un fichero con datos especialmente protegidos por el simple gusto de almacenar esta información.
Ah… pero es que esto no es todo… ¿Qué ocurre si recibimos una carta de una Administración Pública aportando datos sobre algún empleado sindicalista en nuestra empresa? Lo normal es que la empresa, inconsciente, lo adjunte a la carpeta del trabajador junto con su expediente, o que incluso lo digitalice… “por si acaso”, contagiando al fichero de RRHH con esta maldición legal. Nuestra recomendación es que se practique un exorcismo profundo de todos estos datos que, en realidad, no solemos necesitar.
… recibe la misma protección un enfermo de sida, o de cáncer que alguien que tiene una caries, gafas o un resfriado?
Provoca sonrojo, ¿verdad? La Agencia ha insistido en infinidad de ocasiones en que debe entenderse de forma amplia cuando la Ley habla de datos de salud. ¿Será por preocuparse por la intimidad bucal de sus ciudadanos, o quizá por poder poner mayores sanciones?
Si un cliente llama a tu empresa y pregunta por un empleado en concreto, y contestas diciendo que dicha persona está en casa con gripe o en el dentista por una caries, estás vulnerando el deber de secreto, revelando, además, datos de salud de tu empleado… y tu empresa podría ser premiada con una bonita sanción de 300.000 a 600.000 euros que seguramente obligaría a cerrar y a despedir a todos los trabajadores por causas objetivas (con indemnización de 20 días por año trabajado). No te preocupes, seguro que los empleados y sus familias serán comprensivos.
… cuando un empleado cae enfermo y nos trae un parte de baja, no se tienen por qué aplicar las medidas de seguridad de nivel alto y, sin embargo, cuando tiene un accidente sí?
“Resurrta de que” el legislador se dio cuenta de que era excesivo que todas las empresas tuvieran que tener un fichero de RRHH de nivel alto, e hizo encaje de bolillos para conseguir que así fuese… pero se le olvidó incluir los partes de accidente. La Agencia, implacable como siempre, ha rechazado en varios informes la posibilidad de extrapolar estas excepciones del nivel alto a los accidentes de trabajo.
¿La solución? No tener accidentes… o volver a hacer encaje de bolillos, procesando la información directamente sobre el Sistema Delt@, sin quedarnos copia, y queriendo entender que el Ministerio de Trabajo y la Mutua son los únicos responsables de este fichero… ¿pensará igual la AEPD?
… si contratas a una mujer, víctima de violencia de género (cuya cotización a la Seguridad Social está bonificada) también tenemos que aplicar las medidas de seguridad de nivel alto, aunque no se trate de un dato especialmente protegido?
Hasta la entrada en vigor del RLOPD, a los datos especialmente protegidos, se les aplicaban las medidas de seguridad de nivel alto. Ahora, hay datos especialmente protegidos con medidas de seguridad de nivel básico, y datos no especialmente protegidos que obligan a implantar el nivel alto de seguridad.
Los datos especialmente protegidos son aquellos relacionados con la ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual. Para recabarlos debes obtener un consentimiento expreso, o expreso y por escrito, dependiendo del caso (aunque teniendo en cuenta que en caso de denuncia tendremos que demostrar haber obtenido el consentimiento, esta diferencia no tiene mucha relevancia).
Por otra parte, el RLOPD exige las medidas de nivel alto para todos estos ficheros, para los datos recabados en investigaciones policiales, y para aquellos derivados de la violencia de género (así, sin más). Como hemos visto antes, hay excepciones en la aplicación del nivel alto sobre los datos especialmente protegidos, pero no sobre los datos de violencia de género.
Podríamos seguir hablando páginas y páginas sobre estos supuestos tan llamativos, pero preferimos reservarnos para el Volumen IV.
Autor: José Carlos Moratilla