TEMA
11 La protección de datos de carácter personal como derecho
fundamental. Principios y conceptos básicos. Derechos de los ciudadanos.
Obligaciones de las Administraciones Públicas. Cesiones y comunicaciones de
datos de carácter personal
1. LA
proteCCión de dAtos de CAráCter personAL Como dereCHo fundAmentAL. LA Ley
orgániCA 15/1999
El artículo 18 de la Constitución
Española reconoce el derecho al honor, a la intimidad personal y familiar y a
la propia imagen entre los derechos fundamentales de la persona. Para la
salvaguarda de estos derechos y el pleno ejercicio de los mismos, el propio
artículo en su apartado 4 reconoce que la Ley limitará el uso de la
informática, a cuyo efecto, habrá que estar a lo dispuesto en la Ley Orgánica
15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, desarrollada
por el Reglamento aprobado por Real Decreto 1720/2007, de 21 de diciembre.
La Ley Orgánica 15/1999, de 13 de
diciembre, de protección de datos de carácter personal, desarrolla derechos
fundamentales y libertades públicas reconocidos en la Constitución, motivo por
el cual adopta la forma de ley orgánica. Por Real Decreto 1720/2007, de 21 de
diciembre, se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999,
de 13 de diciembre, de protección de datos de carácter personal. A su vez, el
Reglamento ha sido modificado por el Real Decreto 3/2010, de 8 de enero, por el
que se regula el Esquema Nacional de Seguridad en el ámbito de la
Administración Electrónica.
La ley tiene por objeto garantizar y
proteger, en lo que concierne al tratamiento de los datos personales, las
libertades públicas y los derechos fundamentales de las personas físicas, y
especialmente de su honor e intimidad personal y familiar.
Tiene 49 artículos agrupados de la
siguiente manera:
– Título I: Disposiciones Generales
(arts. 1 a 3).
– Título II: Principios de la
Protección de Datos (arts. 4 a 12).
– Título III: Derechos de las personas
(arts. 13 a 19).
– Título IV: Disposiciones sectoriales
(arts. 20 a 32).
*
Capítulo I: Ficheros de titularidad pública (arts. 20 a 24).
*
Capítulo II: Ficheros de titularidad privada (arts. 25 a 32).
– Título V Movimiento internacional de
datos.
– Título VI: Agencia Española de
Protección de datos.
– Título VII: Infracciones y
sanciones.
– 6 Disposiciones Adicionales.
– 3 Disposiciones Transitorias.
– 1 Disposición Derogatoria.
– 3 Disposiciones Finales.
2. Disposiciones
generales
Las Disposiciones generales se recogen
en el Título I de la ley.
2.1. ÁMBITO DE APLICACIÓN
La Ley Orgánica 15/1999 es de
aplicación a los datos de carácter personal registrados en soporte físico, que
los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de
estos datos por los sectores público y privado (artículo 2).
En consecuencia se rige por dicha ley
todo tratamiento de datos de carácter personal:
a)
Cuando el tratamiento sea efectuado en territorio español en el marco de las
actividades de un establecimiento del responsable del tratamiento.
b)
Cuando al responsable del tratamiento no establecido en territorio español, le
sea de aplicación la legislación española en aplicación de normas de Derecho
internacional público.
c)
Cuando el responsable del tratamiento no esté establecido en territorio de la
unión Europea y utilice en el tratamiento de datos medios situados en
territorio español, salvo que tales medios se utilicen únicamente con fines de
tránsito.
El régimen de protección de los datos
de carácter personal que se establece en la Ley Orgánica 15/1999 no será de
aplicación a los siguientes ficheros:
a)
Ficheros mantenidos por personas físicas en el ejercicio de actividades
exclusivamente personales o domésticas.
b)
Ficheros sometidos a la normativa sobre protección de materias clasificadas.
c)
Ficheros establecidos para la investigación del terrorismo y de formas graves
de delincuencia organizada. No obstante, en estos supuestos el responsable del
fichero comunicará previamente la existencia del mismo, sus características
generales y su finalidad a la Agencia de Protección de Datos.
Se regirán por sus disposiciones
específicas, y por lo especialmente previsto, en su caso, por la LO 15/99, los
siguientes tratamientos de datos personales:
a)
Los ficheros regulados por la legislación de régimen electoral.
b)
Los que sirvan a fines exclusivamente estadísticos, y estén amparados por la
legislación estatal o autonómica sobre la función estadística pública.
c)
Los que tengan por objeto el almacenamiento de los datos contenidos en los
informes personales de calificación a que se refiere la legislación del régimen
del personal de las Fuerzas Armadas.
d)
Los derivados del Registro Civil y del Registro Central de penados y rebeldes.
e)
Los procedentes de imágenes y sonidos obtenidos mediante la utilización de
videocámaras por las Fuerzas y Cuerpos de Seguridad, de conformidad con la
legislación sobre la materia.
2.2. DEFINICIONES
El artículo 3 establece las siguientes
definiciones
a)
Datos de carácter personal:
cualquier información concerniente a personas físicas identificadas o
identificables.
b)
Fichero: todo conjunto organizado de
datos de carácter personal, cualquiera que fuere la forma o modalidad de su
creación, almacenamiento, organización y acceso.
c)
Tratamiento de datos: operaciones y
procedimientos técnicos de carácter automatizado o no, que permitan la
recogida, grabación, conservación, elaboración, modificación, bloqueo y
cancelación, así como las cesiones de datos que resulten de comunicaciones,
consultas, interconexiones y transferencias.
d)
Responsable del fichero o tratamiento:
persona física o jurídica, de naturaleza pública o privada, u órgano
administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.
e)
Afectado o interesado: persona
física titular de los datos que sean objeto del tratamiento a que se refiere el
apartado c) del presente artículo.
f)
Procedimiento de disociación: todo
tratamiento de datos personales de modo que la información que se obtenga no
pueda asociarse a persona identificada o identificable.
g)
Encargado del tratamiento: la persona
física o jurídica, autoridad pública, servicio o cualquier otro organismo que,
solo o conjuntamente con otros, trate datos personales por cuenta del
responsable del tratamiento.
h)
Consentimiento del interesado: toda
manifestación de voluntad, libre, inequívoca, específica e informada, mediante
la que el interesado consienta el tratamiento de datos personales que le
conciernen.
i)
Cesión o comunicación de datos: toda
revelación de datos realizada a una persona distinta del interesado.
j)
Fuentes accesibles al público:
aquellos ficheros cuya consulta puede ser realizada, por cualquier persona, no
impedida por una norma limitativa o sin más exigencias que, en su caso, el
abono de una contraprestación. Tienen consideración de fuentes de acceso
público, exclusivamente, el censo promocional, los repertorios telefónicos en
los términos previstos por su normativa específica y las listas de personas
pertenecientes a grupos de profesionales que contengan únicamente los datos de
nombre, título, profesión, actividad, grado académico, dirección e indicación
de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso
público los diarios y boletines oficiales y los medios de comunicación.
3. prinCipios
de LA proteCCión de dAtos
3.1. CALIDAD DE LOS DATOS
Los datos de carácter personal sólo se
pueden recoger para su tratamiento, y para someterlos a dicho tratamiento,
cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y
las finalidades determinadas, explícitas y legítimas para las que se hayan
obtenido.
Los datos de carácter personal objeto
de tratamiento no podrán usarse para finalidades incompatibles con aquéllas
para las que los datos hubieran sido recogidos. En este sentido la ley no
considera incompatible el tratamiento posterior de éstos con fines históricos,
estadísticos o científicos.
Los datos de carácter personal han de
ser exactos y puestos al día de forma que respondan como veracidad a la
situación actual del afectado.
Si los datos de carácter personal
registrados resultaran ser inexactos, en todo o en parte, o incompletos, serán
cancelados y sustituidos de oficio por los correspondientes datos rectificados
o completados, sin perjuicio de las facultades de rectificación y cancelación
reconocida a los afectados.
Los datos de carácter personal serán
cancelados cuando hayan dejado de ser necesarios o pertinentes para la
finalidad para la que fueron recabados o registrados. Serán conservados de
forma que no permita la identificación del interesado durante un período
superior al necesario para los fines con base a los cuales fueron recabados o
registrados.
Reglamentariamente se determinará el
procedimiento por el que, excepcionalmente, se decida el mantenimiento íntegro
de determinados datos atendidos los valores históricos, estadísticos o
científicos.
Los datos de carácter personal serán
almacenados de forma que permitan el ejercicio del derecho de acceso, salvo que
sean legalmente cancelados.
Se prohíbe la recogida de datos por
medios fraudulentos, desleales o ilícitos.
3.2. DERECHO A LA INFORMACIÓN EN LA
RECOGIDA DE DATOS
Los interesados a los que se soliciten
datos personales deberán ser previamente informados de modo expreso, preciso e
inequívoco (artículo 5) de los siguientes aspectos:
a)
De la existencia de un fichero o tratamiento de datos de carácter personal, de
la finalidad de la recogida de éstos y de los destinatarios de la información.
b)
Del carácter obligatorio o facultativo de su respuesta a las preguntas que les
sean planteadas.
c)
De las consecuencias de la obtención de los datos o de la negativa a
suministrarlos.
d)
De la posibilidad de ejercitar los derechos de acceso, rectificación,
cancelación y oposición.
e)
De la identidad y dirección del responsable del tratamiento o, en su caso, de
su representante.
Cuando el responsable del tratamiento
no esté establecido en el territorio de la unión Europea y utilice en el
tratamiento de datos medios situados en territorio español, deberá designar un
representante en España, sin perjuicio de las acciones que pudieran emprenderse
contra el propio responsable del tratamiento.
Cuando se utilicen cuestionarios u
otros impresos para la recogida, figurarán en los mismos, en forma claramente
legible, las advertencias referidas en el apartado anterior.
Según dispone el artículo 24 de la Ley
Orgánica 15/1999, este derecho no será aplicable cuando la información al
afectado impida o dificulte gravemente el cumplimiento de las funciones de
control y verificación de las Administraciones públicas o cuando afecte a la
Defensa Nacional, a la seguridad pública o a la persecución de infracciones
penales.
No será necesaria la información a que
se refieren las letras b), c) y d) si el contenido de ella se deduce claramente
de la naturaleza de los datos personales que se solicitan o de las
circunstancias en que se recaban.
Cuando los datos de carácter personal
no hayan sido recabados del interesado, éste deberá ser informado de forma
expresa, precisa e inequívoca, por el responsable del fichero o su
representante, dentro de los tres
meses siguientes al momento del registro de los datos, salvo que ya
hubiera sido informado con anterioridad, del contenido del tratamiento, de la
procedencia de los datos, así como de lo previsto en las letras a), d) y e).
La información al interesado no será
obligatoria en los siguientes casos:
–
Cuando expresamente lo prevea una ley.
–
Cuando el tratamiento tenga fines históricos, estadísticos o científicos.
–
Cuando la información al interesado resulte imposible o exija esfuerzos
desproporcionados, a criterio de la Agencia Española de Protección de Datos o
del organismo autonómico equivalente, en consideración al número de
interesados, a la antigüedad de los datos y a las posibles medidas
compensatorias.
–
Cuando los datos procedan de fuentes accesibles al público y se destinen a la
actividad de publicidad o prospección comercial, en cuyo caso, en cada
comunicación que se dirija al interesado se le informará del origen de los
datos y de la identidad del responsable del tratamiento así como de los derechos
que le asisten.
3.3. CONSENTIMIENTO DEL AFECTADO
El tratamiento de los datos de
carácter personal requerirá el consentimiento inequívoco del afectado, salvo
que la ley disponga otra cosa.
No será preciso el consentimiento en
los siguientes supuestos:
–
Cuando los datos de carácter personal se recojan para el ejercicio de las
funciones propias de las Administraciones públicas en el ámbito de sus
competencias.
–
Cuando se refieran a las partes de un contrato o precontrato de una relación
negocial, laboral o administrativa y sean necesarios para su mantenimiento o
cumplimiento.
–
Cuando el tratamiento de los datos tenga por finalidad proteger un interés
vital del interesado.
–
Cuando los datos figuren en fuentes accesibles al público y su tratamiento sea
necesario para la satisfacción del interés legítimo perseguido por el
responsable del fichero o por el del tercero a quien se comuniquen los datos,
siempre que no se vulneren los derechos y libertades fundamentales del
interesado.
El consentimiento podrá ser revocado
cuando exista causa justificada para ello y no se le atribuyan efectos
retroactivos.
En los casos en los que no sea
necesario el consentimiento del afectado para el tratamiento de los datos de
carácter personal, y siempre que una ley no disponga lo contrario, éste podrá
oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos
a una concreta situación personal. En tal supuesto, el responsable del fichero excluirá
del tratamiento los datos relativos al afectado.
3.4. DATOS ESPECIALMENTE PROTEGIDOS
De acuerdo con lo establecido en el
apartado 2 del artículo 16 de la Constitución, nadie podrá ser obligado a
declarar sobre su ideología, religión o creencias (artículo 7 Ley Orgánica
15/1999). Cuando en relación con estos datos se proceda a recabar el
consentimiento se advertirá al interesado acerca de su derecho a no prestarlo.
Los datos de carácter personal que
revelen la ideología, afiliación sindical, religión y creencias sólo podrán ser
objeto de tratamiento con el consentimiento expreso y por escrito del afectado.
Se exceptúan los ficheros mantenidos por los partidos políticos, sindicatos,
iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y
otras entidades sin ánimo de lucro, cuya finalidad sea política, filosófica,
religiosa o sindical, en cuanto a los datos relativos a sus asociados o
miembros, sin perjuicio de que la cesión de dichos datos precisará siempre el
previo consentimiento del afectado.
Los datos de carácter personal que
hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán
ser recabados, tratados y cedidos cuando, por razones de interés general, así
lo disponga una ley o el afectado consienta expresamente.
No obstante sí pueden ser objeto de
tratamiento los datos de carácter personal referidos en los dos párrafos
anteriores en los siguientes casos:
–
Cuando dicho tratamiento resulte necesario para la prevención o para el
diagnóstico médico, la prestación de asistencia sanitaria o tratamientos
médicos o la gestión de servicios sanitarios, siempre que dicho tratamiento de
datos se realice por un profesional sanitario sujeto al secreto profesional o
por otra persona sujeta asimismo a una obligación equivalente de secreto.
–
Cuando el tratamiento sea necesario para salvaguadar el interés vital del
afectado o de otra persona, en el supuesto de que el afectado esté física o
jurídicamente incapacitado para dar su consentimiento.
Quedan prohibidos los ficheros creados
con la finalidad exclusiva de almacenar datos de carácter personal que revelen
la ideología, afiliación sindical, religión, creencias, origen racial o étnico,
o vida sexual.
Los datos de carácter personal
relativos a la comisión de infracciones penales o administrativas sólo podrán
ser incluidos en ficheros de las Administraciones públicas competentes en los
supuestos previstos en las respectivas normas reguladoras.
3.5. DATOS RELATIVOS A LA SALUD
En esta materia la Ley Orgánica
15/1999 remite a la legislación específica sobre sanidad en los siguientes
términos: Artículo 8: Las instituciones y los centros sanitarios públicos y
privados y los profesionales correspondientes podrán proceder al tratamiento de
los datos de carácter personal relativos a la salud de las personas que a ellos
acudan o hayan de ser tratados en los mismos de acuerdo con lo dispuesto en la
legislación estatal o autonómica sobre sanidad.
3.6. SEGURIDAD DE LOS DATOS
El responsable del fichero, y, en su
caso, el encargado del tratamiento deberán adoptar las medidas de índole
técnica y organizativas necesarias que garantice la seguridad de los datos de
carácter personal y evite su alteración, pérdida, tratamiento o acceso no
autorizado, habida cuenta del estado de la tecnología, la naturaleza de los
datos almacenados y los riesgos a que están expuestos, ya provengan de la
acción humana del medio físico o natural (artículo 9).
No se registrarán datos de carácter
personal en ficheros que no reúnan las condiciones que se determinen por vía
reglamentaria con respecto a su integridad y seguridad y a las de los centros
de tratamiento, locales, equipos, sistemas y programas.
Reglamentariamente se establecerán los
requisitos y condiciones que deban reunir los ficheros y las personas que
intervengan en el tratamiento de los datos especialmente protegidos.
3.7. EL DEBER DE SECRETO
El responsable del fichero y quienes
intervengan en cualquier fase del tratamiento de los datos de carácter personal
están obligados al secreto profesional respecto de los mismos y al deber de
guardarlos, obligaciones que subsistirán aun después de finalizar sus
relaciones con el titular del fichero o, en su caso, con el responsable del
mismo (artículo 10).
En el ámbito sanitario el artículo
19.j) del Estatuto Marco del personal estatutario de los Servicios de salud
establece entre los deberes del personal estatutario el de... mantener la
debida reserva y confidencialidad de la información y documentación relativa a
los centros sanitarios y a los usuarios obtenida, o a la que tenga acceso, en
el ejercicio de sus funciones.
3.8. COMUNICACIÓN DE DATOS
Los datos de carácter personal objeto
del tratamiento sólo pueden ser comunicados a un tercero para el cumplimiento
de fines directamente relacionados con las funciones legítimas del cedente y
del cesionario con el previo consentimiento del interesado.
Dicho consentimiento no será preciso
en los siguientes supuestos:
a)
Cuando la cesión está autorizada en una ley.
b)
Cuando se trate de datos recogidos de fuentes accesibles al público.
c)
Cuando el tratamiento responda a la libre y legítima aceptación de una relación
jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la
conexión de dicho tratamiento con ficheros de terceros. En este caso la
comunicación sólo será legítima en cuanto se limite a la finalidad que la
justifique.
d)
Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor
del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de
Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco será
preciso el consentimiento cuando la comunicación tenga como destinatario a
instituciones autonómicas con funciones análogas al Defensor del Pueblo o al
Tribunal de Cuentas.
e)
Cuando la cesión se produzca entre Administraciones públicas y tenga por objeto
el tratamiento posterior de los datos con fines históricos, estadísticos y
científicos.
f)
Cuando la cesión de datos de carácter personal relativos a la salud sea
necesaria para solucionar una urgencia que requiera acceder a un fichero o para
realizar los estudios epidemiológicos en los términos establecidos en la
legislación sobre sanidad estatal o autonómica.
La Ley Orgánica 15/1999 considera nulo
el consentimiento para la comunicación de los datos de carácter personal a un
tercero, cuando la información que se facilita al interesado no le permita
conocer la finalidad a que destinarán los datos cuya comunicación se autoriza o
el tipo de actividad de aquel a quien se pretenden comunicar.
El consentimiento para la comunicación
de los datos de carácter personal tiene también un carácter de revocable.
Aquél a quien se comuniquen los datos
de carácter personal se obliga, por el solo hecho de la comunicación, a la
observancia de las disposiciones de Ley Orgánica 15/1999.
Si la comunicación se efectúa previo
procedimiento de disociación, no será aplicable lo establecido en los apartados
anteriores.
3.9. ACCESO A LOS DATOS POR CUENTA DE
TERCEROS
El artículo 12 de la Ley Orgánica
15/1999 no considera comunicación de datos el acceso de un tercero a tales
datos cuando dicho acceso sea necesario para la prestación de un servicio al
responsable del tratamiento.
La realización de tratamientos por cuenta
de terceros deberá estar regulada en un contrato que deberá constar por escrito
o en alguna otra forma que permita acreditar su celebración y contenido,
estableciéndose expresamente que el encargado del tratamiento únicamente
tratará los datos conforme a las instrucciones del responsable del tratamiento,
que no los aplicará o utilizará con el fin distinto al que figure en dicho
contrato, ni los comunicará, ni siquiera para su conservación, a otras
personas.
En el contrato se estipularán,
asimismo, las medidas de seguridad del artículo 9 de la ley que el encargado
del tratamiento está obligado a implementar.
Una vez cumplida la prestación
contractual, los datos de carácter personal deberán ser distribuidos o
devueltos al responsable del tratamiento, al igual que cualquier soporte o
documentos en que conste algún dato de carácter personal objeto del
tratamiento.
En el caso de que el encargado del
tratamiento destine los datos a otra finalidad, los comunique o los utilice
incumpliendo las estipulaciones del contrato, será considerado también
responsable del tratamiento, respondiendo de las infracciones en que hubiera
incurrido personalmente.
4. dereCHos
de Los CiudAdAnos
4.1. DERECHOS RECONOCIDOS
El Título III de la Ley Orgánica
15/1999 reconoce y desarrolla los siguientes derechos de las personas:
–
Derecho de impugnación de valoraciones.
–
Derecho de consulta al Registro general de protección de datos.
–
Derecho de acceso.
–
Derecho de rectificación.
–
Derecho de cancelación.
–
Derecho de indemnización.
a) Derecho de impugnación de
valoraciones
Los ciudadanos tienen derecho a no
verse sometidos a una decisión con efectos jurídicos, sobre ellos o que les
afecte de manera significativa, que se base únicamente en un tratamiento de
datos destinados a evaluar determinados aspectos de su personalidad.
El afectado podrá impugnar los actos
administrativos o decisiones privadas que impliquen una valoración de su
comportamiento, cuyo único fundamento sea un tratamiento de datos de carácter
personal que ofrezca una definición de sus características o personalidad.
En este caso, el afectado tendrá
derecho a obtener información del responsable del fichero sobre los criterios
de valoración y el programa utilizados en el tratamiento que sirvió para
adoptar la decisión en que consistió el acto.
La valoración sobre el comportamiento
de los ciudadanos, basada en un tratamiento de datos, únicamente podrá tener
valor probatorio a petición del afectado.
b) Derecho de consulta
Cualquier persona puede conocer la
existencia de tratamientos de datos de carácter personal, sus finalidades y la
identidad del responsable del tratamiento recabando a tal fin la información
oportuna del Registro General de Protección de Datos, que es de consulta
pública y gratuita.
c) Derecho de acceso
El interesado tiene derecho a
solicitar y obtener gratuitamente información de sus datos de carácter personal
sometidos a tratamiento, el origen de dichos datos, así como las comunicaciones
realizadas o que se prevén hacer de los mismos (artículo 15).
La información puede obtenerse
mediante la mera consulta de los datos por medio de su visualización, o la
indicación de los datos que son objeto de tratamiento mediante escrito, copia,
telecopia o fotocopia, certificada o no, en forma legible o inteligible, sin
utilizar claves o códigos que requieran el uso de dispositivos mecánicos
específicos.
El derecho de acceso sólo podrá ser
ejercitado a intervalos no inferiores a doce meses, salvo que el interesado acredite un
interés legítimo al efecto, en cuyo caso podrán ejercitarlo antes.
d) Derecho de rectificación y
cancelación
El responsable del tratamiento tendrá
la obligación de hacer efectivo el derecho de rectificación o cancelación del
interesado en el plazo de diez
días.
Serán rectificados o cancelados, en su
caso, los datos de carácter personal cuyo tratamiento no se ajuste a lo
dispuesto en la Ley Orgánica 15/1999 y, en particular, cuando tales datos son
inexactos o incompletos.
La cancelación dará lugar al bloqueo
de los datos, conservándose únicamente a disposición de las Administraciones
públicas, Jueces y Tribunales, para la atención de las posibles
responsabilidades nacidas del tratamiento, durante el plazo de prescripción de
éstas.
Cumplido el citado plazo deberá
procederse a la supresión.
Si los datos rectificados o cancelados
hubieran sido comunicados previamente, el responsable del tratamiento deberá
notificar la rectificación o cancelación efectuada a quien se hayan comunicado,
en el caso de que se mantenga el tratamiento por este último, que deberá
también proceder a la cancelación.
Los datos de carácter personal deberán
ser conservados durante los plazos previstos en las disposiciones aplicables o,
en su caso, en las relaciones contractuales entre la persona o entidad
responsable del tratamiento y el interesado.
Los procedimientos para ejercitar el
derecho de oposición, acceso, así como los de rectificación y cancelación se
regulan reglamentariamente.
No se exigirá contraprestación alguna
por el ejercicio de los derechos de oposición, acceso, rectificación o
cancelación.
e) Derecho a indemnización
Los interesados que, como consecuencia
del incumplimiento de lo dispuesto en la Ley Orgánica 15/1999 por parte del
responsable o del encargado del tratamiento, sufran daño o lesión en sus bienes
o derechos tendrán derecho a ser indemnizados (artículo 19).
Si se trata de ficheros de titularidad
pública, la responsabilidad se exigirá de acuerdo con la legislación reguladora
del régimen de responsabilidad de las Administraciones públicas.
En el caso de los ficheros de
titularidad privada, la acción se ejercitará ante los órganos de la
jurisdicción ordinaria.
4.2. TUTELA DE LOS DERECHOS
Las actuaciones contrarias a lo
dispuesto en la Ley Orgánica 15/1999 pueden ser objeto de reclamación por los
interesados ante la Agencia Española de Protección de Datos, en la forma que
reglamentariamente se determine (artículo 18).
El interesado al que se deniegue,
total o parcialmente, el ejercicio de los derechos de oposición, acceso,
rectificación o cancelación, podrá ponerlo en conocimiento de la Agencia
Española de Protección de Datos o, en su caso, del organismo competente de cada
Comunidad Autónoma, que deberá asegurarse de la procedencia o improcedencia de
la denegación.
El plazo máximo en que debe dictarse
la resolución expresa de tutela de derechos será de seis meses.
Contra las resoluciones de la Agencia
Española de Protección de Datos procederá recurso contencioso-administrativo.
5.
obLigACiones de LAs AdmnistrACiones púbLiCAs. fiCHeros de tituLAridAd púbLiCA
5.1. CREACIÓN, MODIFICACIÓN O
SUPRESIÓN DE FICHEROS
La creación, modificación o supresión
de los ficheros de las Administraciones públicas sólo podrán hacerse por medio
de disposición general publicada en el «Boletín Oficial del Estado» o Diario
Oficial correspondiente (artículo 20).
Las disposiciones de creación o de
modificación de ficheros deberán indicar:
a)
La finalidad del fichero y los usos previstos para el mismo.
b)
Las personas o colectivos sobre los que se pretenda obtener datos de carácter
personal o que resulten obligados a suministrarlos.
c)
El procedimiento de recogida de los datos de carácter personal.
d)
La estructura básica del fichero y la descripción de los tipos de datos de
carácter personal incluidos en el mismo.
e)
Las cesiones de datos de carácter personal y, en su caso, las transferencias de
datos que se prevean a países terceros.
f)
Los órganos de las Administraciones responsables del fichero.
g)
Los servicios o unidades ante los que pudiesen ejercitarse los derechos de
acceso, rectificación, cancelación y oposición.
h)
Las medidas de seguridad con indicación del nivel básico, medio o alto
exigible.
En las disposiciones que se dicten
para la supresión de los ficheros, se establecerá el destino de los mismos o,
en su caso, las previsiones que se adopten para su destrucción.
5.2.
COMUNICACIÓN DE DATOS ENTRE ADMINISTRACIONES PúBLICAS
Los datos de carácter personal
recogidos o elaborados por las Administraciones públicas para el desempeño de
sus atribuciones no pueden ser comunicados a otras Administraciones públicas
para el ejercicio de competencias diferentes o de competencias que versen sobre
materias distintas, salvo cuando la comunicación tenga por objeto el
tratamiento posterior de los datos con fines históricos, estadísticos o
científicos.
En todo caso sí pueden ser objeto de
comunicación los datos de carácter personal que una Administración pública
obtenga o elabore con destino a otra.
En ambos supuestos no es necesario el
consentimiento del afectado.
La comunicación de datos recogidos de
fuentes accesibles al público no podrá efectuarse a ficheros de titularidad
privada, si no es con el consentimiento del interesado o cuando una ley prevea
otra cosa.
5.3. FICHEROS DE LAS FUERzAS Y CUERPOS DE SEGURIDAD
Los ficheros creados por las Fuerzas y
Cuerpos de Seguridad que contengan datos de carácter personal que, por haberse
recogido para fines administrativos, deban ser objeto de registro permanente,
están sujetos al régimen general de la Ley Orgánica 15/1999.
La recogida y tratamiento para fines
policiales de datos de carácter personal por las Fuerzas y Cuerpos de Seguridad
sin consentimiento de las personas afectadas están limitados a los supuestos y
categorías de datos que resulten necesarios para la prevención de un peligro
real para la seguridad pública o para la represión de infracciones penales,
debiendo ser almacenados en ficheros específicos establecidos al efecto, que
deberán clasificarse por categorías en función de su grado de fiabilidad.
La recogida y tratamiento por las
Fuerzas y Cuerpos de Seguridad de los datos especialmente protegidos (artículo 7
apartados 2 y 3) podrán realizarse exclusivamente en los supuestos en que sea
absolutamente necesario para los fines de una investigación concreta, sin perjuicio
del control de legalidad de la actuación administrativa o de la obligación de
resolver las pretensiones formuladas en su caso por los interesados que
corresponden a los órganos jurisdiccionales.
Los datos personales registrados con
fines policiales se cancelarán cuando no sean necesarios para las
averiguaciones que motivaron su almacenamiento. A estos efectos, se considerará
especialmente la edad del afectado y el carácter de los datos almacenados, la
necesidad de mantener los datos hasta la conclusión de una investigación o
procedimiento concreto, la resolución judicial firme, en especial la
absolutoria, el indulto, la rehabilitación y la prescripción de
responsabilidad.
5.4. EXCEPCIONES A LOS DERECHOS DE
ACCESO, RECTIFICACIÓN Y CANCELACIÓN
Los responsables de los ficheros
creados por las Fuerzas y Cuerpos de Seguridad que contengan datos de carácter
personal podrán denegar el acceso, la rectificación o cancelación en función de
los peligros que pudieran derivarse para la defensa del Estado o la seguridad
pública, la protección de los derechos y libertades de terceros o las
necesidades de las investigaciones que se estén realizando (artículo 23).
Los responsables de los ficheros de la
Hacienda Pública podrán, igualmente, denegar el ejercicio de los derechos de
acceso, rectificación y cancelación cuando el mismo obstaculice las actuaciones
administrativas tendentes a asegurar el cumplimiento de las obligaciones
tributarias y, en todo caso, cuando el afectado esté siendo objeto de
actuaciones inspectoras.
El afectado al que se deniegue, total
o parcialmente, el ejercicio de dichos derechos podrá ponerlo en conocimiento
del Director de la Agencia Española de Protección de Datos o del organismo
competente de cada Comunidad Autónoma en el caso de ficheros mantenidos por
Cuerpos de Policía propios de éstas, o por las Administraciones tributarias
autonómicas, quienes deberán asegurarse de la procedencia o improcedencia de la
denegación.
6. reAL
deCreto 1720/2007, de 21 de diCiembre, por eL que se ApruebA eL regLAmento de
desArroLLo de LA Ley orgániCA 15/1999, de 13 de diCiembre, de proteCCión de
dAtos de CAráCter personAL
6.1. ANTECEDENTES
La actual Ley Orgánica 15/1999, de 13
de diciembre, de Protección de datos de carácter personal adaptó nuestro
ordenamiento a lo dispuesto por la Directiva 95/46/CE del Parlamento Europeo y
del Consejo de 24 de octubre de 1995, relativa a la protección de las personas
físicas en lo que respecta al tratamiento de datos personales y a la libre
circulación de estos datos, derogando a su vez la hasta entonces vigente Ley
Orgánica 5/1992, de 29 de octubre, de Regulación del tratamiento automatizado
de datos de carácter personal.
Esta Ley Orgánica de Protección de
Datos de Carácter Personal (LOPD) es la norma básica de referencia en España
por la que se regulan las obligaciones de empresas y administraciones públicas
en el tratamiento de datos personales en sus ficheros.
Las deficiencias que contiene su
articulado y su carácter e interpretación restrictiva han levantado las
críticas de todas aquellas entidades que han tenido que incorporar a sus
procesos de negocio elementos proteccionistas que, en muchos casos, confrontan
directamente con los intereses empresariales de cualquier compañía.
Desde la promulgación de esta norma,
el 95% de las empresas españolas la han incumplido de alguna forma. El número
de sanciones impuestas experimentó un aumento considerable. Además, las
empresas han tenido que asumir grandes costes para adaptarse a la nueva Ley.
Por ello, tras varios años de demanda por parte de los sectores afectados, la
LOPD debía contar con un nuevo desarrollo reglamentario.
Este reglamento vendría a aclarar
algunos puntos contradictorios entre la práctica empresarial y los requisitos
legales.
6.2. INTRODUCCIÓN
El Gobierno aprobó en el Consejo de
Ministros del día 21 de diciembre de 2007 el Reglamento de Desarrollo de la Ley
Orgánica de Protección de Datos (LOPD).
La tramitación de este proyecto se ha
caracterizado por la continua colaboración entre en el Ministerio de Justicia y
la Agencia Española de Protección de Datos, así como la más absoluta
transparencia, llegando a ser comunicado a más de sesenta entidades y
asociaciones representativas de derechos e intereses afectados y recibiendo
observaciones al respecto de cuarenta de ellas.
En su elaboración se han tenido en
cuenta los comentarios y observaciones de las Autoridades Autonómicas de
protección de datos que existen en la actualidad (Madrid, Cataluña y País
Vasco) y se han estudiado las cuestiones referentes a la Ley Orgánica de
Protección de Datos que han sido planteadas por distintas instancias y Órganos
Constitucionales, como las Cámaras Parlamentarias, el Defensor del Pueblo u
organismos similares de las Comunidades Autónomas.
En la elaboración de este reglamento
se han tenido en cuenta las observaciones de las autoridades autonómicas de
protección de datos que existen en la actualidad.
El RD 1720/2007 se ha publicado en el
BOE el 19-1-08, referente al Nuevo Reglamento Medidas de Seguridad Ley
Protección de Datos (LOPD 2007).
El Reglamento de desarrollo de la Ley
Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter
personal, trata sobre las siguientes materias:
–
Agencia española de protección de datos.
–
Autorizaciones.
–
Consentimiento del informado.
–
Derecho de acceso, cancelación, rectificación de los datos.
–
Ficheros con datos personales.
–
Flujo transfronterizo de datos (transferencias internacionales).
–
Medidas de seguridad.
–
Procedimientos administrativos y sancionadores.
–
Publicidad.
–
Registro general de protección de datos.
El reglamento abarca el ámbito
tutelado anteriormente por los reales decretos 1332/1994, de 20 de junio, y
994/1999, de 11 de junio, teniendo en cuenta la necesidad de fijar criterios
aplicables a los ficheros y tratamientos de datos personales no automatizados.
La publicación de este Reglamento deja
sin efecto el Real Decreto 994/1999, comúnmente llamado Reglamento de Medidas
de Seguridad.
La atribución de funciones a la
Agencia Española de Protección de Datos por la Ley 34/2002, de 11 de julio, de
Servicios de la sociedad de la información y de comercio electrónico y la Ley
32/2003, de 3 de noviembre, General de Telecomunicaciones obliga a desarrollar
también los procedimientos para el ejercicio de la potestad sancionadora por la
Agencia.
6.3. OBJETIVOS PRINCIPALES
Este Reglamento comparte con la Ley
Orgánica la finalidad de hacer frente a los riesgos que para los derechos de la
personalidad pueden suponer el acopio y tratamiento de datos personales. Esta
norma reglamentaria nace con la vocación de no reiterar los contenidos de la
norma superior y de desarrollar, no sólo los mandatos contenidos en la Ley
Orgánica de acuerdo con los principios que emanan de la Directiva, sino también
aquellos que se ha demostrado que precisan de un mayor desarrollo normativo.
El Reglamento de Protección de Datos
plasma dos objetivos principales:
–
El desarrollo específico de aspectos jurídicos que ya venían contemplados de
forma abstracta como principios generales en la LOPD, tales como la obtención
del consentimiento, las cesiones de datos, el encargo de tratamiento, etc.
–
La delimitación de los procedimientos organizativos y medidas técnicas a
implantar tanto en ficheros automatizados, como en ficheros no automatizados,
entendiendo incluido dentro de este concepto aquellos ficheros organizados en
soporte papel y de manejo manual.
6.4. ESTRUCTURA
El reglamento se estructura en nueve títulos
cuyo contenido desarrolla los aspectos esenciales en esta materia.
– Título I: Contempla el objeto y
ámbito de aplicación del reglamento. A lo largo de la vigencia de la Ley
Orgánica 15/1999, se ha advertido la conveniencia de desarrollar el apartado 2
de su artículo 2 para aclarar qué se entiende por ficheros y tratamientos
relacionados con actividades personales o domésticas, aspecto muy relevante
dado que están excluidos de la normativa sobre protección de datos de carácter
personal.
El reglamento no contiene previsiones
para los tratamientos de datos personales a los que se refiere el apartado 3
del artículo 2 de la ley orgánica, dado que se rigen por sus disposiciones
específicas y por lo especialmente previsto, en su caso, por la propia Ley
Orgánica 15/1999. En consecuencia, se mantiene el régimen jurídico propio de
estos tratamientos y ficheros.
En este Título se aporta un conjunto
de definiciones que ayudan al correcto entendimiento de la norma, lo que
resulta particularmente necesario en un ámbito tan tecnificado como el de la
protección de datos personales. Por otra parte, fija el criterio a seguir en
materia de cómputo de plazos con el fin de homogeneizar esta cuestión evitando
distinciones que suponen diferencias de trato de los ficheros públicos respecto
de los privados.
– Título II: Se refiere a los
principios de la protección de datos. Reviste particular importancia la
regulación del modo de captación del consentimiento atendiendo a aspectos muy
específicos como el caso de los servicios de comunicaciones electrónicas y, muy
particularmente, la captación de datos de los menores.
Asimismo, se ofrece lo que puede
definirse como un estatuto del encargado del tratamiento, que sin duda
contribuirá a clarificar todo lo relacionado con esta figura. Las previsiones
en este ámbito se completan con lo dispuesto en el Título VIII en materia de
seguridad dotando de un marco coherente a la actuación del encargado.
– Título III: Se ocupa de una cuestión
tan esencial como los derechos de las personas en este ámbito.
– Títulos IV al VII: Clarifican
aspectos importantes para el tráfico ordinario, como la aplicación de criterios
específicos a determinado tipo de ficheros de titularidad privada que por su
trascendencia lo requerían (los relativos a la solvencia patrimonial y crédito
y los utilizados en actividades de publicidad y prospección comercial), el
conjunto de obligaciones materiales y formales que deben conducir a los
responsables a la creación e inscripción de los ficheros, los criterios y
procedimientos para la realización de las transferencias internacionales de
datos, y, finalmente, la regulación de un instrumento, el código tipo, llamado
a jugar cada vez un papel más relevante como elemento dinamizador del derecho
fundamental a la protección de datos.
– Título VIII: Regula un aspecto
esencial para la tutela del derecho fundamental a la protección de datos, la
seguridad, que repercute sobre múltiples aspectos organizativos, de gestión y
aun de inversión, en todas las organizaciones que traten datos personales.
El reglamento trata de ser
particularmente riguroso en la atribución de los niveles de seguridad, en la
fijación de las medidas que corresponda adoptar en cada caso y en la revisión
de las mismas cuando ello resulte necesario.
Ordena con mayor precisión el
contenido y las obligaciones vinculadas al mantenimiento del documento de
seguridad. Se ha pretendido regular la materia de modo que contemple las
múltiples formas de organización material y personal de la seguridad que se dan
en la práctica.
Se regula un conjunto de medidas
destinadas a los ficheros y tratamientos estructurados y no automatizados que
ofrezca a los responsables un marco claro de actuación.
– Título IX: Dedicado a los
procedimientos tramitados por la Agencia Española de Protección de Datos, se ha
optado por normar exclusivamente aquellas especialidades que diferencian a los
distintos procedimientos tramitados por la Agencia de las normas generales previstas
para los procedimientos en la Ley 30/1992, de 26 de noviembre, de Régimen
Jurídico de las Administraciones Públicas y del Procedimiento Administrativo
Común, cuya aplicación se declara supletoria al presente reglamento.
6.5. NOVEDADES
6.5.1. Generalidades
El Reglamento se ha concebido como un
instrumento para elevar a norma legal la interpretación que sobre diversas
cuestiones controvertidas ha realizado la Agencia Española de Protección de
Datos y que han sido posteriormente avaladas por los Tribunales a través de sus
sentencias.
La aprobación del nuevo reglamento
mejora la seguridad jurídica solventando asuntos y lagunas interpretativas
pendientes como, por ejemplo, los requisitos para que el consentimiento tácito
pueda ser considerado válido, los medios sencillos y gratuitos que los
responsables de ficheros deberán poner a disposición de las personas para el
ejercicio de sus derechos de acceso, rectificación, cancelación y oposición y
el incremento de las medidas de seguridad en aquellos tratamientos de datos
personales derivados de la violencia de género, que deberán aplicar las medidas
de nivel alto.
También zanja definitivamente el
debate sobre la aplicación de la legislación de protección de datos a las
personas fallecidas y si las mismas gozan del derecho fundamental a la
protección de datos personales o no, dando una respuesta negativa a esta
cuestión a través de la aplicación estricta del concepto de persona establecido
en el Derecho civil español.
No obstante, teniendo en cuenta las
situaciones dolorosas que se pueden producir para los familiares de personas
fallecidas, se habilita la posibilidad de que sus allegados puedan comunicar al
responsable del fichero el fallecimiento y solicitar la cancelación de los
datos.
Los aspectos mencionados y estos
otros, se comentarán en los apartados sucesivos:
–
El reglamento se aplica ahora también a los ficheros y tratamientos no
automatizados (papel) y se fijan criterios específicos sobre las medidas de
seguridad de los mismos.
–
Se garantiza que las personas, antes de consentir que sus datos sean recogidos
y tratados, puedan tener un pleno conocimiento de la utilización que se vaya a
hacer de estos datos.
–
Para el ejercicio de los derechos de los interesados, se exige de manera
expresa al responsable de los ficheros que conceda al interesado un medio
sencillo y gratuito para su ejercicio. Se prohíbe exigir el envío de cartas
certificadas o semejantes o la utilización de medios de telecomunicaciones que
impliquen el pago de una tarifa adicional.
–
Todos los datos derivados de la violencia de género pasan del nivel básico de
seguridad a un nivel alto.
–
Especificaciones sobre los menores de edad, sobre la solvencia patrimonial y
crédito, y sobre la Tarjeta sanitaria.
–
Se regula que los familiares/allegados de personas fallecidas puedan comunicar
al responsable del fichero el fallecimiento y solicitar la cancelación e sus
datos.
6.5.2. Aspectos Jurídicos
El Reglamento acrecienta la seguridad
jurídica y resuelve determinadas cuestiones o lagunas interpretativas que
pudieran existir en la actualidad, con especial atención a todo aquello que
pueda suscitar una mayor sensibilidad a los titulares del derecho y los sujetos
obligados por la Ley. Recoge, además, la interpretación que de la Ley Orgánica han
efectuado los Tribunales a través de la jurisprudencia.
En cuanto a los aspectos jurídicos que
se tratan en el Reglamento, han de resaltarse:
– La insistencia de determinar que la
carga de la prueba de haber informado debidamente con todos los requisitos y
haber obtenido el debido consentimiento de un usuario para tratar sus datos,
recae en el responsable del fichero.
– Especificaciones para la obtención
del consentimiento (para el tratamiento, para cesiones, en datos especialmente
sensibles, etc.), cómo obtener de forma válida un consentimiento tácito, etc.
– La obligación de ofrecer a un
cliente en un proceso de contratación la posibilidad de negarse a que se
utilicen sus datos para finalidades que no sean estrictamente el cumplimiento
del objeto contractual.
– La determinación de varias
obligaciones del encargado de tratamiento para poder subcontratar todo o parte
de sus servicios con las debidas garantías para el responsable del fichero,
obligaciones de conservación de datos, contenido de su documento de seguridad,
remisión de las peticiones de acceso, rectificación, cancelación y oposición al
responsable del fichero, etc.
– Las diversas formas de atender los
derechos de acceso, rectificación y cancelación, delimitación de los plazos
legales para contestar, necesidades de concienciación y difusión del
procedimiento en la compañía, la regulación del contenido del derecho de
oposición, no delimitado previamente en el texto de la LOPD, etc.
6.5.3. Mayor Seguridad de los Datos
En relación con las medidas de
seguridad en ficheros informatizados, algunas de las novedades más importantes
son:
– Se extiende la necesidad de tener un
registro de los accesos producidos a ficheros calificados de nivel medio. Esta
obligación que anteriormente sólo aplicaba al nivel alto de seguridad, es una
de las más controvertidas, puesto que supone un coste muy importante en
tecnología y medios humanos para compañías que tengan ficheros en el sector
financiero, seguros, ficheros de perfiles, etc.
– Se mantiene la obligación de
realizar una Auditoría de ficheros y sistemas, al menos cada dos años, para ficheros
de nivel medio y alto, no obstante, se añade la obligación de notificar a la
Agencia Española de Protección de Datos la fecha del correspondiente Informe de
Auditoría, así como la indicación de si se ha realizado interna o externamente.
Así pues, la AEPD contará con la información relativa a los ficheros inscritos
por esa entidad en el Registro General de Protección de Datos, además de lo
previsto respecto a la Auditoría.
– Se incluye como una medida de nivel
medio de seguridad la de llevar a cabo el cifrado de dispositivos portátiles
que contengan datos personales cuando salgan de la entidad donde se encuentren
los ficheros con datos. Esta medida interpretada en sentido general afectará a
todo tipo de dispositivos que permitan el almacenamiento de información,
piénsese en pendrives, portátiles, teléfonos móviles, PDA´s, etc.
Todo ello obligará a la entidad a
invertir en la tecnología necesaria y mantener políticas muy estrictas en
relación con la salida de información fuera de la compañía por los propios
empleados.
La seguridad de la información se
refuerza con el nuevo Reglamento.
6 5 4. Cambios en los niveles
Respecto a las principales novedades
en materia de seguridad de los datos, el nuevo Reglamento introduce los
siguientes cambios:
Pasan de nivel básico a nivel medio de
seguridad los ficheros de:
–
Entidades Gestoras y Servicios Comunes de la Seguridad Social.
–
Mutuas de accidentes de trabajo y de enfermedades profesionales de la Seguridad
Social.
–
Ficheros que contengan datos sobre características o personalidad de los
ciudadanos que permitan deducir su comportamiento.
Es en este apartado donde
probablemente esta medida tendrá un mayor impacto, en función de cómo se define
y se decanta el concepto de “características o personalidad de los ciudadanos
que permita deducir su comportamiento” ya que dicha formulación resulta
bastante indefinida.
– Ficheros de los operadores de
servicios de comunicaciones electrónicas disponibles al público o que exploten
redes públicas de comunicaciones electrónicas sobre datos de tráfico y
localización.
Además, se exige a estos operadores
establecer un registro de acceso a tales datos para determinar quién ha
intentado acceder a esos datos, fecha y hora en que se ha intentado este acceso
y si ha sido autorizado o denegado.
En relación con la tipología de datos,
el borrador de Reglamento incluye como datos merecedores del nivel medio de
seguridad los relativos a menores de edad y a víctimas de violencia de género,
y equipara al nivel alto de los datos especialmente sensibles, los datos de
tráfico y localización, tratados por los operadores de telecomunicaciones.
Esta novedad implica una serie de
medidas adicionales que los operadores deberán asumir, junto a aquellas
obligaciones que finalmente se impongan a nivel europeo en materia de retención
de datos para la lucha contra el terrorismo.
Tras la aprobación de la Ley 25/2007,
de conservación de datos relativos a las comunicaciones electrónicas y a las
redes públicas de comunicaciones, se establece la obligatoriedad para estos
operadores de conservar durante un año ciertas categorías de estos datos para facilitar la labor
de las fuerzas y cuerpos de seguridad.
Dada la potencial amenaza para la
privacidad de las personas que un uso ilegítimo de estos datos puede suponer
–como el establecimiento de perfiles y patrones de comportamiento de las
personas a través de sus comunicaciones electrónicas (números a los que llama o
desde los que es llamada, direcciones de correo electrónico a las que escribe o
desde las que recibe mensajes…)-, se aumenta el nivel de seguridad de estos
ficheros para garantizar en la medida de lo posible que sólo sean accedidos y
utilizados por los usuarios autorizados y para finalidades legítimas.
Pasan de nivel básico a nivel alto de
seguridad:
–
Todos los datos derivados de la violencia de género.
Para facilitar a los obligados a
cumplir las medidas de seguridad, se exige que los productos de software
destinados al tratamiento de datos personales incluyan en su descripción el
nivel de seguridad, ya sea básico, medio o alto, que permiten alcanzar de
acuerdo con el Reglamento.
Se establecen ciertas especialidades
para facilitar la implantación de medidas de seguridad. Así, bastará con
aplicar las medidas de seguridad de nivel básico, en lugar de las de nivel
alto, respecto a datos especialmente protegidos cuando sólo se utilicen para el
pago de cuotas a las entidades de las que los titulares de los datos sean miembros.
Lo mismo se permite respecto a los
datos referentes exclusivamente al grado de discapacidad o la simple
declaración de la condición de discapacidad o invalidez, cuando tengan por
única finalidad cumplir una obligación legal. Esto es particularmente aplicable
a los datos relativos a la afiliación sindical o respecto a los datos de salud
en los ficheros de nóminas.
6 5 5. Seguridad de los Datos en papel
Quizás la más importante de la
novedades es la resolución de una de las carencias de la anterior normativa de
desarrollo de la LORTAD –la primera ley de protección de datos existente en
España aprobada en 1992 y sustituida por la LOPD en 1999- y que se mantenía en
vigor tras la aprobación de esta última: la concreción de las medidas de
seguridad que deben aplicarse a los ficheros manuales estructurados (es decir,
ficheros en soporte papel).
Como punto principal, hemos de
resaltar las medidas de seguridad que se establecen para los ficheros no
automatizados. Al igual que para los informáticos, se mantienen tres niveles
diferentes de seguridad: básico, medio y alto. En este sentido, todas las
entidades tienen que empezar a pensar cómo implantar en sus ficheros papel de
nóminas, contratos, albaranes, facturas, autorizaciones, etc., medidas de
seguridad tales como:
– Inventariado de ficheros,
almacenamiento controlado, criterios de archivo para la conservación,
localización y consulta, y posibilitar el ejercicio de los derechos de acceso,
rectificación, cancelación y oposición.
– Dotación de seguridad en los locales
como dispositivos ignífugos y equipamiento contra incendios, control de acceso
a armarios y archivadores ubicados en áreas de acceso restringido o bajo
vigilancia de personal autorizado, y mecanismos que impidan el libre acceso a
los mismos por personas no autorizadas, limitar la posibilidad de copiar
documentos y acceder a las copias y realizar un control para evitar accesos no
autorizados.
– Registro de accesos (solicitud de
acceso, registro del mismo, conservación de estos registros durante dos años,
etc.), almacenamiento de la información en armarios y archivadores con llave o
similar, custodia de la información durante su proceso de tramitación antes de
ser archivada en el fichero, medidas para impedir la manipulación de
documentación cuando se traslade y controles que permitan detectar si se ha
producido algún acceso no autorizado, etc.
Sin lugar a dudas, estas obligaciones
serán de aplicación en entidades de prácticamente todo tipo de sectores, pero
pensemos lo que medidas de este tipo pueden suponer en entidades en las que
algunos de sus procesos principales pasan por el manejo de información en
papel, tales como entidades bancarias y financieras (recibos, extractos,
documentación entregada por clientes, etc.), hospitales y clínicas (historiales
médicos), compañías de seguros (pólizas, documentación para gestión de
siniestros, etc.), Administraciones Públicas (todo tipo de documentación de
ciudadanos), tribunales de justicia (expedientes procesales), sector
inmobiliario (contratos, escrituras, etc.) y un largo etcétera.
El hecho de que los ficheros no
automatizados se incluyan en el ámbito de esta norma y se impongan medidas de
seguridad específicas, implica la complicada tarea de localizar e inventariar
tales ficheros y alinear sus medidas con los procedimientos de seguridad de la
empresa.
6 5 6. Publicidad y prospección
comercial
Ante la creciente externalización de
estos servicios de obtención de datos, se regulan de manera detallada las
relaciones entre el responsable del tratamiento y el encargado del mismo. Así,
el responsable del fichero que encargue esa contratación tendrá que vigilar que
el encargado al que va a contratar reúna las garantías para cumplir el régimen
de protección de los datos, en especial en cuanto a su conservación y
seguridad.
Como regla general, para que el
encargado del tratamiento contratado pueda a su vez subcontratar algunos de los
servicios, debe estar autorizado por el responsable del fichero o tratamiento.
Se exigen determinados requisitos de actuación por parte del subcontratista, a
fin de que el responsable del fichero nunca pierda el conocimiento y control
acerca de los tratamientos realizados, en última instancia, en su nombre y su
cuenta.
Además:
– La entidad que contrate con una
empresa la realización de una campaña publicitaria estará obligada a asegurarse
de que ésta ha recabado los datos cumpliendo con todo lo establecido en la Ley.
– Será obligatorio el consentimiento
del afectado para que los responsables de distintos ficheros puedan cruzar sus
datos para promocionar o comercializar productos o servicios.
– Se regulan las denominadas “listas
de exclusión” o “listas Robinson” para que cualquier afectado, que
obligatoriamente debe ser informado de su existencia, pueda comunicar al
responsable de un fichero que no desea recibir publicidad. Estas listas serán
de obligada consulta previa por parte de quienes realicen actividades de
publicidad o prospección comercial.
6.5.7. Transferencias Internacionales
de Datos
Se establece un régimen sistemático de
las mismas, con la posibilidad de que el Director de la Agencia Española de
Protección de Datos declare la existencia de un nivel adecuado de protección en
un Estado respecto del que no exista la Decisión adecuada por parte de la unión
Europea.
También se aclaran los supuestos en
que se podrán aportar garantías que permitan la autorización de una
transferencia por parte del Director, incluyendo en este apartado las
denominadas “binding corporate rules”, o códigos internos de los grupos
multinacionales de empresas, cuyo incumplimiento pudiera ser denunciado ante la
Agencia.
Se introduce la opción de suspensión o
revocación de una determinada transferencia que hubiera sido previamente
autorizada por parte del Director de la Agencia Española de Protección de Datos
cuando se hubiera dado incumplimiento o falta de garantías.
Teniendo en cuenta las sensibilidades
que se pudieran dar en la transferencia internacional de datos, sobre todo
cuando pueda implicar la deslocalización de servicios prestados en territorio
español, se incluirá un procedimiento de autorización de un trámite de
información pública, donde se podrán aportar alegaciones sobre la legalidad de
estas actuaciones.
Como se puede comprobar, el ámbito y
contenido de este Reglamento es muy amplio, y su entrada en vigor obliga a
todas las entidades, públicas y privadas, a revisar sus procedimientos,
políticas, cláusulas, documento de seguridad y medidas de seguridad para lograr
una adaptación a esta norma, ya que sigue absolutamente vigente el régimen
sancionador previsto en la LOPD.
6.5.8. Menores de Edad
Sin duda uno de los elementos a los
que el nuevo Reglamento ha prestado más atención y en el que existen más
novedades. Se establecen medidas específicas para el tratamiento de datos de
menores de edad prohibiéndose, como regla general, pedir o tratar datos de
menores de catorce años
sin el consentimiento de sus padres. Si son mayores de esa edad, no se exige
dicho consentimiento, salvo que sean actos que los menores de dieciocho años no puedan
realizar sin permiso paterno.
Si, además, se pretende recoger datos
con información relativa a los miembros del grupo familiar o sus
características, será necesario que los titulares de los mismos den su
consentimiento.
Los menores de edad deberán ser
informados con un lenguaje claro, que les sea fácilmente comprensible y se
tendrá que garantizar que se ha comprobado la edad del menor y la autenticidad
del consentimiento prestado.
6.5.9. Tarjeta Sanitaria
Para facilitar la asistencia sanitaria
por el Sistema Nacional de Salud y facilitar la utilización de la tarjeta
sanitaria individual, expresamente se aclara que no es necesario el
consentimiento del interesado para la comunicación de datos sobre la salud,
incluso a través de medios electrónicos, entre los distintos centros, cuando se
realice para la atención sanitaria de las personas.
6 5 10. Solvencia Patrimonial y
Crédito
Se introducen importantes novedades en
el tratamiento de esta información. Para la inclusión de estos datos, además de
la existencia previa de una deuda cierta, vencida y exigible que haya resultado
impagada, es necesario que no se haya entablado una reclamación de tipo
judicial, arbitral o administrativa sobre la misma. Además, es precisa la
notificación de la inclusión, impuesta por la Ley Orgánica de Protección de
Datos, de forma que no se incluyan aquellas deudas respecto de las que no
conste la recepción de dicha notificación.
– En cuanto que la deuda haya sido
pagada, deberán ser cancelados de manera inmediata los datos relativos a ella.
También se prohíbe mantener en los ficheros al respecto el denominado “saldo
cero”.
– Se establece la responsabilidad del
acreedor, o persona que actúe por su cuenta, si aporta datos inexactos para su
inclusión en el fichero.
– Se regula de forma detallada el
deber de información al deudor. En primer lugar, deberá ser advertido de su
posible inclusión en el fichero en el momento de suscribir un contrato del que
pueda derivarse una deuda futura. En caso de impago, deberá informarse al
deudor, tanto con carácter previo a la inclusión del dato en el fichero, como
en los treinta días
siguientes a la inclusión.
6.5.11. Aplicación en PYMES
En el ámbito de las PYMES (pequeñas y
medianas empresas) podemos destacar:
– Bastará con aplicar las medidas de
seguridad de nivel básico, en lugar de las de nivel alto, respecto a los datos
especialmente protegidos cuando sólo se utilicen para el pago de cuotas a las
entidades de las que los titulares de los datos sean miembros.
– Lo mismo se permite respecto a los
datos referentes exclusivamente al grado de discapacidad o invalidez, cuando
tengan por finalidad cumplir con una obligación legal.
– Esto es particularmente aplicable a
los datos relativos a la afiliación sindical o respecto a la salud en los
ficheros de nóminas.
6.6. RÉGIMEN SANCIONADOR
El nuevo Reglamento de la LOPD incluye
y clarifica algunas cuestiones prácticas sobre las que ya se había decantado la
AEPD en procedimientos sancionadores y, sobre todo, incluye una serie de
requisitos adicionales, nuevas dudas y nuevas medidas que obligarán a todas las
entidades a estar al tanto del avance legislativo de este texto.
Sobre la potestad sancionadora de la
Agencia Española de Protección de Datos, no se modifican las infracciones,
sanciones o cuantía de las multas, pero sí se introduce un límite temporal de doce meses a la duración
de la incoación de un expediente sancionador.
Transcurrido ese plazo sin un
procedimiento sancionador, estas actuaciones previas se entenderán como
caducadas.
Esto redundará, sin duda, en beneficio
de los ciudadanos, ya que podrán conocer en un periodo de tiempo razonable si
su conducta es o no merecedora de sanción.
6.7. RÉGIMEN TRANSITORIO
Para el cumplimiento de las nuevas
medidas de seguridad se establece un régimen transitorio de implantación de las
mismas a los ficheros y tratamientos actualmente existentes.
En este caso, para los ficheros en
soportes no automatizados se fijan plazos de un año, dieciocho meses y dos años para los niveles básico, medio y alto,
respectivamente.
En cuanto a los ficheros
automatizados, en un año
deberán implantarse las medidas de seguridad de nivel medio para aquellos que
en la actualidad están clasificados como de nivel básico; en el plazo de
un año para
implantar las medidas de seguridad de nivel medio y de dieciocho meses para
implantar las medidas de nivel alto para los ficheros con datos sobre
violencia de género y los datos referentes a tráfico y localización en
comunicaciones electrónicas disponibles al público, que actualmente están en el
nivel básico.
Todos los ficheros, ya sean
automatizados o no, que sean creados con posterioridad a la entrada en vigor
del presente Reglamento, tendrán que cumplir las medidas previstas, sin que
exista ningún plazo transitorio de adaptación.
No hay comentarios:
Publicar un comentario