La normativa sobre seguridad informtica y proteccin de datos personales y su incidencia en el mbito laboral La importancia fundamental que ha ido adquiriendo

la informtica en la gestin de los

recursos humanos, y en concreto la existencia hoy ya generalizada de ficheros automatizados en los que las empresas conservan datos personales de sus empleados, tanto a efectos del clculo y abono de las retribuciones como, cada vez ms, en relacin con otros aspectos relevantes de dicha gestin como pueden ser la formacin y desarrollo de los empleados, la prevencin de riesgos y vigilancia de la salud, etc., comporta el que deban adoptarse las medidas necesarias para garantizar la seguridad de dichos datos y asegurar que el tratamiento de los mismos se efecta respetando las cautelas legales existentes. La normativa reguladora del tratamiento de datos de carcter personal fue objeto de una completa actualizacin en el ao 1999, con la publicacin del Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carcter personal (BOE 25.6.1999), as como, muy especialmente, de la nueva Ley Orgnica 15/1999, de 13 de diciembre, de proteccin de datos de carcter personal (BOE 14.12.2000), que ha sustituido y derogado a la anterior Ley Orgnica 5/1992, de 29 de octubre, de regulacin del tratamiento automatizado de datos de carcter personal, siendo actualmente la norma bsica en esta materia.

PROTECCIN DE DATOS DE CARCTER PERSONAL La Ley Orgnica 15/1999 tiene por objeto, como seala su artculo 1, "garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades pblicas y los derechos fundamentales de las personas fsicas, y especialmente de su honor e intimidad personal y familiar". Los aspectos de la Ley que inciden ms directamente en el mbito de las relaciones laborales son los siguientes: - Se considera "dato personal" cualquier informacin relativa a las personas fsicas identificadas o identificables (art. 3.a). - Aunque no es necesario el consentimiento del afectado para el tratamiento de datos personales en el marco de una relacin laboral (art.6.2), s se establece que, en estos casos , "y siempre que una ley no disponga lo contrario, ste podr oponerse a su tratamiento cuando existan motivos fundados y legtimos relativos a una concreta situacin personal" (art. 6.4.). - Las personas a las que se soliciten datos deben ser informadas previamente de la existencia del fichero , de la finalidad del mismo, de sus derechos en relacin a dichos datos, etc. Cuando se utilicen cuestionarios u otros impresos para la recogida de datos, dichas advertencias debern constar en los mismos "en forma claramente legible" (art. 5). Si los datos no se recaban directamente del interesado, est tiene derecho a ser informado en el plazo de 3 meses. - La afiliacin sindical es uno de los datos que tiene el carcter de especialmente protegido y no puede ser objeto de tratamiento sin consentimiento expreso y por escrito del afectado (art. 7). Por otra parte, se prohibe la creacin de ficheros que tengan como finalidad exclusiva la de almacenar datos de los considerados especialmente protegidos (ideologa, afiliacin sindical, religin, creencias, origen racial o tnico, vida sexual). - Con respecto a los datos relativos a la salud , los mismos pueden ser tratados por los centros

sanitarios pblicos y privados y por los profesionales correspondientes (art. 8). Por otro lado, incluso los datos personales especialmente protegidos pueden ser tratados por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta asimismo a una obligacin equivalente de secreto, cuando sea necesario para la prevencin o el diagnstico mdico, la prestacin de asistencia sanitaria o tratamientos mdicos o la gestin de los servicios sanitarios (art. 7.6). Conviene recodar, sin embargo, que una Sentencia del Tribunal Constitucional de 8 de noviembre de 1999 consider que era contrario al derecho a la intimidad de las personas el tratamiento de datos relativos a diagnsticos mdicos en un fichero de una empresa destinado al control del absentismo de sus empleados. - Entre los derechos de las personas cuyos datos son objeto de tratamiento destacan: El derecho de acceso a los datos objeto de tratamiento y de informacin sobre el origen de dichos datos y las comunicaciones realizadas o que pretendan realizarse de los mismos. Dichos derechos pueden ejercitarse como mximo cada 12 meses (salvo que se acredite un inters legtimo). La informacin puede facilitarse en forma de visualizacin o mediante escrito, copia, telecopia o fotocopia, certificada o no, legible e inteligible (art. 15). El derecho de rectificacin o cancelacin de los datos que no se ajusten a la Ley o que resulten inexactos o incompletos. Dicho derecho debe ser hecho efectivo en el plazo de 10 das (art.16).

- La realizacin de tratamientos por cuenta de terceros en el marco de una prestacin de servicios al responsable del fichero, deber estar regulada en un contrato escrito o en alguna otra forma que acredite su celebracin y contenido, establecindose expresamente que el encargado del tratamiento nicamente tratar los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicar o utilizar con fin distinto al que figure en dicho contrato, ni los comunicar, ni siquiera para su conservacin, a otras personas (art. 12). - La creacin de ficheros de titularidad privada que contengan datos de carcter personal debe ser previamente notificada a la Agencia de Proteccin de Datos (art. 26), en alguna de las formas previstas en la Resolucin de dicha Agencia de 30 de mayo de 2000, por la que se aprueban los modelos normalizados en soporte papel, magntico y telemtico a travs de los que debern efectuarse las solicitudes de inscripcin en el Registro General de Proteccin de Datos (BOE 27.6.2000). Si la notificacin se ajusta a los requisitos, se proceder a la inscripcin del fichero en dicho Registro (se entender inscrito a todos los efectos si transcurrido un mes la Agencia no ha resuelto). Deben comunicarse asimismo los cambios en la finalidad del fichero automatizado, en su responsable y en la direccin de su ubicacin. - Se establece la potestad de inspeccin de los ficheros por parte de las autoridades de control, singularmente la Agencia de Proteccin de Datos (art. 40). - Se establece asimismo un rgimen de infracciones y sanciones, con multas que pueden llegar a los 100 millones de pesetas para las faltas muy graves (arts. 43-49). - Se otorga un plazo de 3 aos desde la entrada en vigor de la Ley (es decir, hasta el 14 de enero de 2003) para que los ficheros de datos personales ya existentes, inscritos o no, se adapten a los requisitos de la misma. (D.A. 1). Durante este mismo perodo los ficheros de titularidad privada deben ser comunicados a la Agencia de Proteccin de Datos. Por lo que respecta a los ficheros creados con posterioridad a dicha entrada en vigor, la notificacin a la Agencia de Proteccin de Datos debe ser previa a la creacin del fichero. En el caso de los ficheros y tratamientos no automatizados, el plazo de adaptacin es de 12 aos.

MEDIDAS DE SEGURIDAD DE LOS FICHEROS Las medidas concretas de seguridad, tanto tcnicas como organizativas, que debe reunir todo fichero automatizado que contenga datos de carcter personal estn establecidas en el Real Decreto 994/1999, de 11 de junio, el cual, aunque es previo a la publicacin y entrada en vigor de la Ley Orgnica 15/1999, ha sido declarado expresamente vigente por la propia Ley Orgnica en su Disposicin Transitoria Tercera. El Real Decreto establece tres niveles de medidas de seguridad exigibles, "atendiendo a la naturaleza de la informacin tratada, en relacin con la mayor o menor necesidad de garantizar la confidencialidad y la integridad de la informacin": a) Medidas de nivel bsico (Captulo II): - Documento de seguridad (art. 8) - Funciones y obligaciones del personal (art. 9) - Registro de incidencias (art. 10) - Identificacin y autentificacin (art.11) - Control de acceso (art. 12) - Gestin de soportes (art. 13) - Copias de respaldo y recuperacin (art. 14) b) Medidas de nivel medio (Captulo III): - Documento de seguridad (art. 15) - Responsable de seguridad (art. 16) - Auditora (art.17) - Identificacin y autentificacin (art.18) - Control de acceso fsico (art. 19) - Gestin de soportes (art. 20) - Registro de incidencias (art. 21) - Pruebas sin datos reales (art. 22) c) Medidas de nivel alto (Captulo IV) - Distribucin de soportes (art. 23) - Registro de accesos (art. 24) - Copias de respaldo y recuperacin (art. 25) - Telecomunicaciones con datos cifrados (art. 26) Asimismo se establecieron plazos mximos de implantacin de las medidas de seguridad, ms o menos largos en funcin del nivel de las medidas (y ya vencidos en el caso de las medidas de nivel bsico y medio): - nivel bsico: finaliz 26 de marzo de 2000 (RD 195/2000 de 11 de febrero); - nivel medio: finaliz el 26 de junio de 2000; - nivel alto: finaliza el 26 de junio de 2001. El incumplimiento de las medidas de seguridad exigibles puede ser considerado, segn los casos, como infraccin grave o muy grave, siendo sancionable con multas de 10.000.001 a 50.000.000 pts. (graves) o de 50.000.001 a 100.000.000 pts. (muy graves) Debe advertirse, por ltimo, que con respecto a los "ficheros de nminas de empleados", la Agencia de Proteccin de Datos interpreta que, en la medida en que los mismos contengan el dato de la afiliacin sindical -que se considera como "dato de ideologa"- a efectos del descuento de la cuota, y/o datos relativos a la salud de las personas (minusvalas a efectos de

IRPF, etc.), dichos ficheros deben tener el nivel mximo de proteccin y por tanto, les son de aplicacin los tres niveles, incluido el nivel alto, de medidas de seguridad.