Todos los bares y restaurantes que recojan datos personales de sus clientes, proveedores o trabajadores; o imágenes captadas por cámaras de seguridad, etc, deben cumplir con la protección de datos con el fin de garantizar y proteger esos datos personales.
Así lo establece la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal de 13 de diciembre (LOPD) y su Reglamento de Desarrollo RD 1720/2007, que garantiza y protege a las personas físicas con respecto al tratamiento de sus datos personales.
¿A QUIÉN OBLIGA?
Esta Ley Obliga a toda persona física y/o jurídica, que posea ficheros tanto públicos como privados, que contengan información personal, susceptible de ser recogida, tratada y/o cedida.
Por tanto, todos aquellos asociados que posean datos personales de clientes, proveedores, socios, trabajadores, imágenes captadas por las cámaras de videovigilancia, usuarios de la web, curriculums vitae, etc… están obligados al cumplimiento de la mencionada legislación.
¿QUÉ OBLIGACIONES TENGO?
Inscripción de Ficheros en el Registro General de la Agencia Española de Protección de Datos.
Elaboración del Documento de Seguridad: documento en el que se reflejan las medidas técnicas, organizativas y jurídicas a implementar en su empresa.
Cumplir con los principios de información y consentimiento: Cualquier persona tiene derecho a saber si sus datos personales van a ser incluidos en un fichero, de los tratamientos que se realizan con esos datos, así como de a dónde se pueden dirigir para ejercer sus derechos ARCO (Acceso, Rectificación, Cancelación y Oposición). Su empresa, como responsable del fichero, tiene la obligación de informar al ciudadano de todas estas cuestiones cuando recaban datos personales de sus clientes, trabajadores, contactos, proveedores, usuarios de la web, imágenes de las cámaras de videovigilancia, CV’s.
Firmar Contratos de Encargado del Tratamiento con todos aquellos proveedores de servicios con acceso a datos (LA VIÑA, gestorías, asesorías, mantenimiento informático, hosting, Prevención de Riesgos Laborales…)
Auditoría: Todos aquellos asociados que traten datos de nivel medio, como pueden ser los Curriculum Vitae, están obligados además a realizar un informe de Auditoría con carácter Bienal.
¿ME PUEDEN SANCIONAR SI NO CUMPLO CON LA NORMATIVA DE PROTECCIÓN DE DATOS?
La Agencia Española de Protección de Datos, como organismo público de control, nos puede sancionar por el no cumplimiento de esta normativa con las siguientes sanciones:
Infracciones Leves: Sanciones entre
900.00€ y 40.000 €
No solicitar la inscripción del fichero en la Agencia Española de Protección de Datos (AGPD).
Recopilar datos personales sin informar previamente
No atender a las solicitudes de rectificación o cancelación
No atender las consultas por parte de la AEPD.
Infracciones Graves: Sanciones entre 40.001 € y 300.000 €
No inscribir los ficheros en la AGPD.
Utilizar los ficheros con distinta finalidad con la se crearon.
No consentimiento del interesado para recabar sus datos personales
No permitir el acceso a los ficheros.
Mantener datos inexactos o no efectuar las modificaciones solicitadas
No seguir los principios y garantías de la LOPD
Tratar datos especialmente protegidos sin consentimiento
No remitir a la AGPD las notificaciones previstas en la LOPD.
Mantener los ficheros sin las debidas condiciones de seguridad.
Infracciones Muy Graves: Sanciones entre 300.001 € y 600.000 €
Crear ficheros para almacenar datos que revelen datos especialmente protegidos.
Recogida de datos de manera engañosa o fraudulenta.
Recabar datos especialmente protegidos sin la autorización del afectado.
No atender u obstaculizar de forma sistemática las solicitudes de cancelación o rectificación.
Vulnerar el secreto sobre datos especialmente protegidos.
La comunicación o cesión de datos cuando ésta no esté permitida.
No cesar en el uso ilegítimo a petición de la AGPD.
Tratar los datos de forma ilegítima o con menosprecio de principios y garantías que le sean de aplicación.
No atender de forma sistemática los requerimientos de la AGPD.
La transferencia temporal o definitiva de datos de carácter personal con destino a países sin nivel de protección equiparable o sin autorización
