¿Cómo respetar la Ley de protección de datos en relación con los datos personales incluidos en la base de datos que hay detrás de nuestra intranet?.

Estimado Alfredo: Con su pregunta ha puesto Ud. sobre la pantalla del monitor un tema que trae de cabeza a un sin número de entidades, públicas o privadas ,profesionales ,organismos ,empresas,gestorías asesorías etc…en general cualquier persona o entidad que trate “ficheros“de terceros,tal como se define en el Art. 3 Apdo. b) de la Ley 15/99 de 13 de Diciembre.
En principio ya que se trata de datos relativos a personas con una minusvalía física, relacionados con la salud de las personas que a su Federación están afiliadas, tal como determina el Art. 8 de la ley no habría ningún problema para su tratamiento,de acuerdo con la legislación estatal o autonómica.
Claro está, ello sin perjuicio de que el conocimiento de terceros de esos datos de carácter personal,tiene que ser consentido por el afectado o cedente, tal como se determina en el Art. 11 punto1 , sin entrar a valorar las excepciones del punto 2(a,b,c,d,e,f),que no precisaría consentimiento del cedente, aunque al ser datos relativos a la salud, estos datos sólo podrán ser recabados ,tratados y cedidos cuando por razones de interés general, asi lo disponga una ley o el afectado lo consienta expresamente.
Al desconocer la estructura de su intranet, base de datos y relación con sus afiliados no es posible particularizar una respuesta concreta, pero sí dar unas pautas generales:
-Tal como determina el Art. 9 el responsable del “fichero”,en su caso el Presidente de su Federación o el Consejo Directivo,es decir quien decida sobre la finalidad,contenido o uso del fichero debe adoptar las medidas de índole técnica y organizativas que garanticen la seguridad de los datos almacenados y eviten su alteración,pérdida, tratamiento o acceso no autorizado.
-Tener un conocimiento exhaustivo del personal que tiene acceso a la base de datos de su intranet , y que tiene facultades para modificar o consultar los datos de esa base, con constancia documental si los datos son modificados e informática si son consultados y con que fin .(paswords individuales,registro de consultas etc…)
-Ya que son ficheros de titularidad privada se debe notificar a la Agencia,el responsable del fichero ,la finalidad del mismo su ubicación ,su finalidad el tipo de datos decarácter personal que contiene ,las medidas de seguridad, las cesiones que se preveea realizar.En fin todos los cambios que se produzcan tal como lo determina el Art. 26
-Y muy importante ,si hay cesión de datos debe informarse a los afectados indicando la naturaleza de los datos que han sido cedidos (Art. 27), teniendo en cuenta, como le decía anteriormente , que al ser datos relativos a la salud , su cesión o tratamiento debe ser consentido por el afectado (Art. 7 punto3)
-Y para terminar ,recuerde que si su Federación tiene registrado un dominio que presta servicios a través un página web, son Uds. ,su Federación , Prestadores de Servicios de la sociedad de la información , que ya que sería muy prolijo y extenso detallarlo le indico que las Obligaciones y Régimen de Responsabilida, se determina en la Ley 34/2.002de Servicios de la Sociedad de la Información y de Comercio Eléctronico,-la famosa Ley de Internet-B.O.E. de 12-7-2.002 nº166 Fascículo 2º1.
En fin, esperando que mi respuesta le haya servido de alguna yuda, reciba un cordial saludo.
Julio López Carrasco

Buenos días, Alfredo:

Basicamente, tienes que:
1. Notificar esa base de datos a la Agencia de Protección de Datos, https://www.agenciaprotecciondatos.org/. En esa Web puedes hacerlo on-line.
2. Facilitar a cada usuario de la Intranet el acceso online o offline a sus propios datos, con la opción de poder solicitar cambios o, inclusive, la eliminación de todos sus registros.
3. Garantizar, mediante medidas técnicas e informáticas, la seguridad y la privacidad de esa base de datos.

Un saludo, Dominique