Totes les societats o particulars que operin en l’àmbit empresarial, i que disposin de dades personals de clients, proveïdors, treballadors, etc. estan subjectes a determinades obligacions derivades del compliment de la Llei Orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal, i el reglament que la desenvolupa R.D. 1720/2007, de 21 de desembre.
Aquestes dades sempre han d’estar relacionades amb la pròpia activitat que desenvolupi l’empresa, i en tot cas referits a dades de persones físiques, entenent-se com a tals qualssevol classe de informació numèrica, alfabètica, gràfica, fotogràfica, acústica o de qualsevol altre tipus concernent a persones físiques identificades o identificables. Queden excloses per tant les dades referents a societats, així com també les referents a empresaris individuals.
En síntesi, els diferents subjectes que intervenen en el tractament de dades personals són: El responsable del fitxer, aquella persona física o jurídica que decideix sobre la finalitat , contingut i ús del tractament. Haurà d’adoptar les mesures tècniques i organitzatives necessàries per garantir la seguretat de les dades personals i evitar la seva alteració o pèrdua, així com guardar secret professional respecte a les dades emmagatzemades. Sobre ell s’imposaran les sancions contingudes a la Llei de Protecció de dades, i recauran les responsabilitats que corresponguin; El responsable de seguretat , que hauran de designar aquelles empreses que requereixin un nivell de seguretat mig o alt, per coordinar y controlar les mesures definides al document de seguretat; Encarregat del tractament, qui tracta dades per compte del responsable del fitxer. El supòsit més freqüent és una empresa assessora en matèria de tractament de dades.
Segons la natura de la informació tractada, en relació amb la major o menor necessitat de confidencialitat, s’estableixen 3 nivells de seguretat: bàsic, mig i alt. El nivell bàsic és general per a tots els fitxers que continguin dades de caràcter personal; El nivell mig és per als fitxers que continguin dades relatives a la comissió d’infraccions administratives o penals, Hisenda Pública, serveis financers i solvència patrimonial; I el nivell alt es refereix a fitxers que continguin dades de ideologia, religió, creences, origen racial, salut, vida sexual i dades policials.
Com a mesures de seguretat generals, cal tenir en compte que l’accés a dades personals a través de xarxes de comunicació, hauran de garantir un nivell de seguretat equivalent al corresponent als accessos en mode local. El treball amb dades personals fora del lloc de ubicació del fitxer necessitarà l’autorització expressa del responsable del fitxer i s’haurà de garantir el nivell de seguretat que correspongui. I els fitxers temporals també hauran de garantir el nivell de seguretat que correspongui, i hauran de ser esborrats una vegada hagin deixat de ser necessaris.
Tanmateix, segons el grau de nivell de seguretat, caldrà prendre altres mesures addicionals i específiques, entre les que destaca el Document de Seguretat , com a mitjà d’implementació d’aquesta normativa , i que haurà de ser complert per tot el personal amb accés a les dades automatitzades de caràcter personal i sistemes d’informació. El contingut del mateix està reglat.
Cal també tenir en compte que totes les persones físiques a les quals es sol·licitin dades personals, han de ser informades prèviament de:
a) La existència de un fitxer de tractament de dades de caràcter personal , la finalitat i els destinataris de la informació.
b) Del caràcter obligatori o facultatiu de les preguntes que se’ls plantegin.
c) De les conseqüències de la obtenció de les dades o de la negativa a subministrar-les.
d) De la possibilitat d’exercitar els drets d’accés, rectificació, cancel·lació i oposició.
e) De la identitat i adreça del responsable del tractament, o, en el seu cas, del seu representant.