Páginas

lunes, 8 de abril de 2013

TEMA 11


TEMA 11 La protección de datos de carácter personal como derecho fundamental. Principios y conceptos básicos. Derechos de los ciudadanos. Obligaciones de las Administraciones Públicas. Cesiones y comunicaciones de datos de carácter personal
1. LA proteCCión de dAtos de CAráCter personAL Como dereCHo fundAmentAL. LA Ley orgániCA 15/1999
El artículo 18 de la Constitución Española reconoce el derecho al honor, a la intimidad personal y familiar y a la propia imagen entre los derechos fundamentales de la persona. Para la salvaguarda de estos derechos y el pleno ejercicio de los mismos, el propio artículo en su apartado 4 reconoce que la Ley limitará el uso de la informática, a cuyo efecto, habrá que estar a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, desarrollada por el Reglamento aprobado por Real Decreto 1720/2007, de 21 de diciembre.
La Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, desarrolla derechos fundamentales y libertades públicas reconocidos en la Constitución, motivo por el cual adopta la forma de ley orgánica. Por Real Decreto 1720/2007, de 21 de diciembre, se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. A su vez, el Reglamento ha sido modificado por el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
La ley tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar.
Tiene 49 artículos agrupados de la siguiente manera:
– Título I: Disposiciones Generales (arts. 1 a 3).
– Título II: Principios de la Protección de Datos (arts. 4 a 12).
– Título III: Derechos de las personas (arts. 13 a 19).
– Título IV: Disposiciones sectoriales (arts. 20 a 32).
* Capítulo I: Ficheros de titularidad pública (arts. 20 a 24).
* Capítulo II: Ficheros de titularidad privada (arts. 25 a 32).
– Título V Movimiento internacional de datos.
– Título VI: Agencia Española de Protección de datos.
– Título VII: Infracciones y sanciones.
– 6 Disposiciones Adicionales.
– 3 Disposiciones Transitorias.
– 1 Disposición Derogatoria.
– 3 Disposiciones Finales.
2. Disposiciones generales
Las Disposiciones generales se recogen en el Título I de la ley.
2.1. ÁMBITO DE APLICACIÓN
La Ley Orgánica 15/1999 es de aplicación a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado (artículo 2).
En consecuencia se rige por dicha ley todo tratamiento de datos de carácter personal:
a) Cuando el tratamiento sea efectuado en territorio español en el marco de las actividades de un establecimiento del responsable del tratamiento.
b) Cuando al responsable del tratamiento no establecido en territorio español, le sea de aplicación la legislación española en aplicación de normas de Derecho internacional público.
c) Cuando el responsable del tratamiento no esté establecido en territorio de la unión Europea y utilice en el tratamiento de datos medios situados en territorio español, salvo que tales medios se utilicen únicamente con fines de tránsito.
El régimen de protección de los datos de carácter personal que se establece en la Ley Orgánica 15/1999 no será de aplicación a los siguientes ficheros:
a) Ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas.
b) Ficheros sometidos a la normativa sobre protección de materias clasificadas.
c) Ficheros establecidos para la investigación del terrorismo y de formas graves de delincuencia organizada. No obstante, en estos supuestos el responsable del fichero comunicará previamente la existencia del mismo, sus características generales y su finalidad a la Agencia de Protección de Datos.
Se regirán por sus disposiciones específicas, y por lo especialmente previsto, en su caso, por la LO 15/99, los siguientes tratamientos de datos personales:
a) Los ficheros regulados por la legislación de régimen electoral.
b) Los que sirvan a fines exclusivamente estadísticos, y estén amparados por la legislación estatal o autonómica sobre la función estadística pública.
c) Los que tengan por objeto el almacenamiento de los datos contenidos en los informes personales de calificación a que se refiere la legislación del régimen del personal de las Fuerzas Armadas.
d) Los derivados del Registro Civil y del Registro Central de penados y rebeldes.
e) Los procedentes de imágenes y sonidos obtenidos mediante la utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad, de conformidad con la legislación sobre la materia.
2.2. DEFINICIONES
El artículo 3 establece las siguientes definiciones
a) Datos de carácter personal: cualquier información concerniente a personas físicas identificadas o identificables.
b) Fichero: todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.
c) Tratamiento de datos: operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.
d) Responsable del fichero o tratamiento: persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.
e) Afectado o interesado: persona física titular de los datos que sean objeto del tratamiento a que se refiere el apartado c) del presente artículo.
f) Procedimiento de disociación: todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable.
g) Encargado del tratamiento: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento.
h) Consentimiento del interesado: toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen.
i) Cesión o comunicación de datos: toda revelación de datos realizada a una persona distinta del interesado.
j) Fuentes accesibles al público: aquellos ficheros cuya consulta puede ser realizada, por cualquier persona, no impedida por una norma limitativa o sin más exigencias que, en su caso, el abono de una contraprestación. Tienen consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público los diarios y boletines oficiales y los medios de comunicación.
3. prinCipios de LA proteCCión de dAtos
3.1. CALIDAD DE LOS DATOS
Los datos de carácter personal sólo se pueden recoger para su tratamiento, y para someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.
Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquéllas para las que los datos hubieran sido recogidos. En este sentido la ley no considera incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos.
Los datos de carácter personal han de ser exactos y puestos al día de forma que respondan como veracidad a la situación actual del afectado.
Si los datos de carácter personal registrados resultaran ser inexactos, en todo o en parte, o incompletos, serán cancelados y sustituidos de oficio por los correspondientes datos rectificados o completados, sin perjuicio de las facultades de rectificación y cancelación reconocida a los afectados.
Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la que fueron recabados o registrados. Serán conservados de forma que no permita la identificación del interesado durante un período superior al necesario para los fines con base a los cuales fueron recabados o registrados.
Reglamentariamente se determinará el procedimiento por el que, excepcionalmente, se decida el mantenimiento íntegro de determinados datos atendidos los valores históricos, estadísticos o científicos.
Los datos de carácter personal serán almacenados de forma que permitan el ejercicio del derecho de acceso, salvo que sean legalmente cancelados.
Se prohíbe la recogida de datos por medios fraudulentos, desleales o ilícitos.
3.2. DERECHO A LA INFORMACIÓN EN LA RECOGIDA DE DATOS
Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco (artículo 5) de los siguientes aspectos:
a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.
Cuando el responsable del tratamiento no esté establecido en el territorio de la unión Europea y utilice en el tratamiento de datos medios situados en territorio español, deberá designar un representante en España, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento.
Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias referidas en el apartado anterior.
Según dispone el artículo 24 de la Ley Orgánica 15/1999, este derecho no será aplicable cuando la información al afectado impida o dificulte gravemente el cumplimiento de las funciones de control y verificación de las Administraciones públicas o cuando afecte a la Defensa Nacional, a la seguridad pública o a la persecución de infracciones penales.
No será necesaria la información a que se refieren las letras b), c) y d) si el contenido de ella se deduce claramente de la naturaleza de los datos personales que se solicitan o de las circunstancias en que se recaban.
Cuando los datos de carácter personal no hayan sido recabados del interesado, éste deberá ser informado de forma expresa, precisa e inequívoca, por el responsable del fichero o su representante, dentro de los tres meses siguientes al momento del registro de los datos, salvo que ya hubiera sido informado con anterioridad, del contenido del tratamiento, de la procedencia de los datos, así como de lo previsto en las letras a), d) y e).
La información al interesado no será obligatoria en los siguientes casos:
– Cuando expresamente lo prevea una ley.
– Cuando el tratamiento tenga fines históricos, estadísticos o científicos.
– Cuando la información al interesado resulte imposible o exija esfuerzos desproporcionados, a criterio de la Agencia Española de Protección de Datos o del organismo autonómico equivalente, en consideración al número de interesados, a la antigüedad de los datos y a las posibles medidas compensatorias.
– Cuando los datos procedan de fuentes accesibles al público y se destinen a la actividad de publicidad o prospección comercial, en cuyo caso, en cada comunicación que se dirija al interesado se le informará del origen de los datos y de la identidad del responsable del tratamiento así como de los derechos que le asisten.
3.3. CONSENTIMIENTO DEL AFECTADO
El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa.
No será preciso el consentimiento en los siguientes supuestos:
– Cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones públicas en el ámbito de sus competencias.
– Cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento.
– Cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado.
– Cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado.
El consentimiento podrá ser revocado cuando exista causa justificada para ello y no se le atribuyan efectos retroactivos.
En los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de los datos de carácter personal, y siempre que una ley no disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En tal supuesto, el responsable del fichero excluirá del tratamiento los datos relativos al afectado.
3.4. DATOS ESPECIALMENTE PROTEGIDOS
De acuerdo con lo establecido en el apartado 2 del artículo 16 de la Constitución, nadie podrá ser obligado a declarar sobre su ideología, religión o creencias (artículo 7 Ley Orgánica 15/1999). Cuando en relación con estos datos se proceda a recabar el consentimiento se advertirá al interesado acerca de su derecho a no prestarlo.
Los datos de carácter personal que revelen la ideología, afiliación sindical, religión y creencias sólo podrán ser objeto de tratamiento con el consentimiento expreso y por escrito del afectado. Se exceptúan los ficheros mantenidos por los partidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y otras entidades sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, en cuanto a los datos relativos a sus asociados o miembros, sin perjuicio de que la cesión de dichos datos precisará siempre el previo consentimiento del afectado.
Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una ley o el afectado consienta expresamente.
No obstante sí pueden ser objeto de tratamiento los datos de carácter personal referidos en los dos párrafos anteriores en los siguientes casos:
– Cuando dicho tratamiento resulte necesario para la prevención o para el diagnóstico médico, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios, siempre que dicho tratamiento de datos se realice por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta asimismo a una obligación equivalente de secreto.
– Cuando el tratamiento sea necesario para salvaguadar el interés vital del afectado o de otra persona, en el supuesto de que el afectado esté física o jurídicamente incapacitado para dar su consentimiento.
Quedan prohibidos los ficheros creados con la finalidad exclusiva de almacenar datos de carácter personal que revelen la ideología, afiliación sindical, religión, creencias, origen racial o étnico, o vida sexual.
Los datos de carácter personal relativos a la comisión de infracciones penales o administrativas sólo podrán ser incluidos en ficheros de las Administraciones públicas competentes en los supuestos previstos en las respectivas normas reguladoras.
3.5. DATOS RELATIVOS A LA SALUD
En esta materia la Ley Orgánica 15/1999 remite a la legislación específica sobre sanidad en los siguientes términos: Artículo 8: Las instituciones y los centros sanitarios públicos y privados y los profesionales correspondientes podrán proceder al tratamiento de los datos de carácter personal relativos a la salud de las personas que a ellos acudan o hayan de ser tratados en los mismos de acuerdo con lo dispuesto en la legislación estatal o autonómica sobre sanidad.
3.6. SEGURIDAD DE LOS DATOS
El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garantice la seguridad de los datos de carácter personal y evite su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana del medio físico o natural (artículo 9).
No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.
 Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros y las personas que intervengan en el tratamiento de los datos especialmente protegidos.
3.7. EL DEBER DE SECRETO
El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo (artículo 10).
En el ámbito sanitario el artículo 19.j) del Estatuto Marco del personal estatutario de los Servicios de salud establece entre los deberes del personal estatutario el de... mantener la debida reserva y confidencialidad de la información y documentación relativa a los centros sanitarios y a los usuarios obtenida, o a la que tenga acceso, en el ejercicio de sus funciones.
3.8. COMUNICACIÓN DE DATOS
Los datos de carácter personal objeto del tratamiento sólo pueden ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.
Dicho consentimiento no será preciso en los siguientes supuestos:
a) Cuando la cesión está autorizada en una ley.
b) Cuando se trate de datos recogidos de fuentes accesibles al público.
c) Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique.
d) Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco será preciso el consentimiento cuando la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas.
e) Cuando la cesión se produzca entre Administraciones públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos y científicos.
f) Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica.
La Ley Orgánica 15/1999 considera nulo el consentimiento para la comunicación de los datos de carácter personal a un tercero, cuando la información que se facilita al interesado no le permita conocer la finalidad a que destinarán los datos cuya comunicación se autoriza o el tipo de actividad de aquel a quien se pretenden comunicar.
El consentimiento para la comunicación de los datos de carácter personal tiene también un carácter de revocable.
Aquél a quien se comuniquen los datos de carácter personal se obliga, por el solo hecho de la comunicación, a la observancia de las disposiciones de Ley Orgánica 15/1999.
Si la comunicación se efectúa previo procedimiento de disociación, no será aplicable lo establecido en los apartados anteriores.
3.9. ACCESO A LOS DATOS POR CUENTA DE TERCEROS
El artículo 12 de la Ley Orgánica 15/1999 no considera comunicación de datos el acceso de un tercero a tales datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento.
La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con el fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.
En el contrato se estipularán, asimismo, las medidas de seguridad del artículo 9 de la ley que el encargado del tratamiento está obligado a implementar.
Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser distribuidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.
En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado también responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.
4. dereCHos de Los CiudAdAnos
4.1. DERECHOS RECONOCIDOS
El Título III de la Ley Orgánica 15/1999 reconoce y desarrolla los siguientes derechos de las personas:
– Derecho de impugnación de valoraciones.
– Derecho de consulta al Registro general de protección de datos.
– Derecho de acceso.
– Derecho de rectificación.
– Derecho de cancelación.
– Derecho de indemnización.
a) Derecho de impugnación de valoraciones
Los ciudadanos tienen derecho a no verse sometidos a una decisión con efectos jurídicos, sobre ellos o que les afecte de manera significativa, que se base únicamente en un tratamiento de datos destinados a evaluar determinados aspectos de su personalidad.
El afectado podrá impugnar los actos administrativos o decisiones privadas que impliquen una valoración de su comportamiento, cuyo único fundamento sea un tratamiento de datos de carácter personal que ofrezca una definición de sus características o personalidad.
En este caso, el afectado tendrá derecho a obtener información del responsable del fichero sobre los criterios de valoración y el programa utilizados en el tratamiento que sirvió para adoptar la decisión en que consistió el acto.
La valoración sobre el comportamiento de los ciudadanos, basada en un tratamiento de datos, únicamente podrá tener valor probatorio a petición del afectado.
b) Derecho de consulta
Cualquier persona puede conocer la existencia de tratamientos de datos de carácter personal, sus finalidades y la identidad del responsable del tratamiento recabando a tal fin la información oportuna del Registro General de Protección de Datos, que es de consulta pública y gratuita.
c) Derecho de acceso
El interesado tiene derecho a solicitar y obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, el origen de dichos datos, así como las comunicaciones realizadas o que se prevén hacer de los mismos (artículo 15).
La información puede obtenerse mediante la mera consulta de los datos por medio de su visualización, o la indicación de los datos que son objeto de tratamiento mediante escrito, copia, telecopia o fotocopia, certificada o no, en forma legible o inteligible, sin utilizar claves o códigos que requieran el uso de dispositivos mecánicos específicos.
El derecho de acceso sólo podrá ser ejercitado a intervalos no inferiores a doce meses, salvo que el interesado acredite un interés legítimo al efecto, en cuyo caso podrán ejercitarlo antes.
d) Derecho de rectificación y cancelación
El responsable del tratamiento tendrá la obligación de hacer efectivo el derecho de rectificación o cancelación del interesado en el plazo de diez días.
Serán rectificados o cancelados, en su caso, los datos de carácter personal cuyo tratamiento no se ajuste a lo dispuesto en la Ley Orgánica 15/1999 y, en particular, cuando tales datos son inexactos o incompletos.
La cancelación dará lugar al bloqueo de los datos, conservándose únicamente a disposición de las Administraciones públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas.
Cumplido el citado plazo deberá procederse a la supresión.
Si los datos rectificados o cancelados hubieran sido comunicados previamente, el responsable del tratamiento deberá notificar la rectificación o cancelación efectuada a quien se hayan comunicado, en el caso de que se mantenga el tratamiento por este último, que deberá también proceder a la cancelación.
Los datos de carácter personal deberán ser conservados durante los plazos previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre la persona o entidad responsable del tratamiento y el interesado.
Los procedimientos para ejercitar el derecho de oposición, acceso, así como los de rectificación y cancelación se regulan reglamentariamente.
No se exigirá contraprestación alguna por el ejercicio de los derechos de oposición, acceso, rectificación o cancelación.
e) Derecho a indemnización
Los interesados que, como consecuencia del incumplimiento de lo dispuesto en la Ley Orgánica 15/1999 por parte del responsable o del encargado del tratamiento, sufran daño o lesión en sus bienes o derechos tendrán derecho a ser indemnizados (artículo 19).
Si se trata de ficheros de titularidad pública, la responsabilidad se exigirá de acuerdo con la legislación reguladora del régimen de responsabilidad de las Administraciones públicas.
En el caso de los ficheros de titularidad privada, la acción se ejercitará ante los órganos de la jurisdicción ordinaria.
4.2. TUTELA DE LOS DERECHOS
Las actuaciones contrarias a lo dispuesto en la Ley Orgánica 15/1999 pueden ser objeto de reclamación por los interesados ante la Agencia Española de Protección de Datos, en la forma que reglamentariamente se determine (artículo 18).
El interesado al que se deniegue, total o parcialmente, el ejercicio de los derechos de oposición, acceso, rectificación o cancelación, podrá ponerlo en conocimiento de la Agencia Española de Protección de Datos o, en su caso, del organismo competente de cada Comunidad Autónoma, que deberá asegurarse de la procedencia o improcedencia de la denegación.
El plazo máximo en que debe dictarse la resolución expresa de tutela de derechos será de seis meses.
Contra las resoluciones de la Agencia Española de Protección de Datos procederá recurso contencioso-administrativo.
5. obLigACiones de LAs AdmnistrACiones púbLiCAs. fiCHeros de tituLAridAd púbLiCA
5.1. CREACIÓN, MODIFICACIÓN O SUPRESIÓN DE FICHEROS
La creación, modificación o supresión de los ficheros de las Administraciones públicas sólo podrán hacerse por medio de disposición general publicada en el «Boletín Oficial del Estado» o Diario Oficial correspondiente (artículo 20).
Las disposiciones de creación o de modificación de ficheros deberán indicar:
a) La finalidad del fichero y los usos previstos para el mismo.
b) Las personas o colectivos sobre los que se pretenda obtener datos de carácter personal o que resulten obligados a suministrarlos.
c) El procedimiento de recogida de los datos de carácter personal.
d) La estructura básica del fichero y la descripción de los tipos de datos de carácter personal incluidos en el mismo.
e) Las cesiones de datos de carácter personal y, en su caso, las transferencias de datos que se prevean a países terceros.
f) Los órganos de las Administraciones responsables del fichero.
g) Los servicios o unidades ante los que pudiesen ejercitarse los derechos de acceso, rectificación, cancelación y oposición.
h) Las medidas de seguridad con indicación del nivel básico, medio o alto exigible.
En las disposiciones que se dicten para la supresión de los ficheros, se establecerá el destino de los mismos o, en su caso, las previsiones que se adopten para su destrucción.
5.2. COMUNICACIÓN DE DATOS ENTRE ADMINISTRACIONES PúBLICAS
Los datos de carácter personal recogidos o elaborados por las Administraciones públicas para el desempeño de sus atribuciones no pueden ser comunicados a otras Administraciones públicas para el ejercicio de competencias diferentes o de competencias que versen sobre materias distintas, salvo cuando la comunicación tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos.
En todo caso sí pueden ser objeto de comunicación los datos de carácter personal que una Administración pública obtenga o elabore con destino a otra.
En ambos supuestos no es necesario el consentimiento del afectado.
La comunicación de datos recogidos de fuentes accesibles al público no podrá efectuarse a ficheros de titularidad privada, si no es con el consentimiento del interesado o cuando una ley prevea otra cosa.
5.3. FICHEROS DE LAS FUERzAS Y CUERPOS DE SEGURIDAD
Los ficheros creados por las Fuerzas y Cuerpos de Seguridad que contengan datos de carácter personal que, por haberse recogido para fines administrativos, deban ser objeto de registro permanente, están sujetos al régimen general de la Ley Orgánica 15/1999.
La recogida y tratamiento para fines policiales de datos de carácter personal por las Fuerzas y Cuerpos de Seguridad sin consentimiento de las personas afectadas están limitados a los supuestos y categorías de datos que resulten necesarios para la prevención de un peligro real para la seguridad pública o para la represión de infracciones penales, debiendo ser almacenados en ficheros específicos establecidos al efecto, que deberán clasificarse por categorías en función de su grado de fiabilidad.
La recogida y tratamiento por las Fuerzas y Cuerpos de Seguridad de los datos especialmente protegidos (artículo 7 apartados 2 y 3) podrán realizarse exclusivamente en los supuestos en que sea absolutamente necesario para los fines de una investigación concreta, sin perjuicio del control de legalidad de la actuación administrativa o de la obligación de resolver las pretensiones formuladas en su caso por los interesados que corresponden a los órganos jurisdiccionales.
Los datos personales registrados con fines policiales se cancelarán cuando no sean necesarios para las averiguaciones que motivaron su almacenamiento. A estos efectos, se considerará especialmente la edad del afectado y el carácter de los datos almacenados, la necesidad de mantener los datos hasta la conclusión de una investigación o procedimiento concreto, la resolución judicial firme, en especial la absolutoria, el indulto, la rehabilitación y la prescripción de responsabilidad.
5.4. EXCEPCIONES A LOS DERECHOS DE ACCESO, RECTIFICACIÓN Y CANCELACIÓN
Los responsables de los ficheros creados por las Fuerzas y Cuerpos de Seguridad que contengan datos de carácter personal podrán denegar el acceso, la rectificación o cancelación en función de los peligros que pudieran derivarse para la defensa del Estado o la seguridad pública, la protección de los derechos y libertades de terceros o las necesidades de las investigaciones que se estén realizando (artículo 23).
Los responsables de los ficheros de la Hacienda Pública podrán, igualmente, denegar el ejercicio de los derechos de acceso, rectificación y cancelación cuando el mismo obstaculice las actuaciones administrativas tendentes a asegurar el cumplimiento de las obligaciones tributarias y, en todo caso, cuando el afectado esté siendo objeto de actuaciones inspectoras.
El afectado al que se deniegue, total o parcialmente, el ejercicio de dichos derechos podrá ponerlo en conocimiento del Director de la Agencia Española de Protección de Datos o del organismo competente de cada Comunidad Autónoma en el caso de ficheros mantenidos por Cuerpos de Policía propios de éstas, o por las Administraciones tributarias autonómicas, quienes deberán asegurarse de la procedencia o improcedencia de la denegación.
6. reAL deCreto 1720/2007, de 21 de diCiembre, por eL que se ApruebA eL regLAmento de desArroLLo de LA Ley orgániCA 15/1999, de 13 de diCiembre, de proteCCión de dAtos de CAráCter personAL
6.1. ANTECEDENTES
La actual Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de carácter personal adaptó nuestro ordenamiento a lo dispuesto por la Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, derogando a su vez la hasta entonces vigente Ley Orgánica 5/1992, de 29 de octubre, de Regulación del tratamiento automatizado de datos de carácter personal.
Esta Ley Orgánica de Protección de Datos de Carácter Personal (LOPD) es la norma básica de referencia en España por la que se regulan las obligaciones de empresas y administraciones públicas en el tratamiento de datos personales en sus ficheros.
Las deficiencias que contiene su articulado y su carácter e interpretación restrictiva han levantado las críticas de todas aquellas entidades que han tenido que incorporar a sus procesos de negocio elementos proteccionistas que, en muchos casos, confrontan directamente con los intereses empresariales de cualquier compañía.
Desde la promulgación de esta norma, el 95% de las empresas españolas la han incumplido de alguna forma. El número de sanciones impuestas experimentó un aumento considerable. Además, las empresas han tenido que asumir grandes costes para adaptarse a la nueva Ley. Por ello, tras varios años de demanda por parte de los sectores afectados, la LOPD debía contar con un nuevo desarrollo reglamentario.
Este reglamento vendría a aclarar algunos puntos contradictorios entre la práctica empresarial y los requisitos legales.
6.2. INTRODUCCIÓN
El Gobierno aprobó en el Consejo de Ministros del día 21 de diciembre de 2007 el Reglamento de Desarrollo de la Ley Orgánica de Protección de Datos (LOPD).
La tramitación de este proyecto se ha caracterizado por la continua colaboración entre en el Ministerio de Justicia y la Agencia Española de Protección de Datos, así como la más absoluta transparencia, llegando a ser comunicado a más de sesenta entidades y asociaciones representativas de derechos e intereses afectados y recibiendo observaciones al respecto de cuarenta de ellas.
En su elaboración se han tenido en cuenta los comentarios y observaciones de las Autoridades Autonómicas de protección de datos que existen en la actualidad (Madrid, Cataluña y País Vasco) y se han estudiado las cuestiones referentes a la Ley Orgánica de Protección de Datos que han sido planteadas por distintas instancias y Órganos Constitucionales, como las Cámaras Parlamentarias, el Defensor del Pueblo u organismos similares de las Comunidades Autónomas.
En la elaboración de este reglamento se han tenido en cuenta las observaciones de las autoridades autonómicas de protección de datos que existen en la actualidad.
El RD 1720/2007 se ha publicado en el BOE el 19-1-08, referente al Nuevo Reglamento Medidas de Seguridad Ley Protección de Datos (LOPD 2007).
El Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, trata sobre las siguientes materias:
– Agencia española de protección de datos.
– Autorizaciones.
– Consentimiento del informado.
– Derecho de acceso, cancelación, rectificación de los datos.
– Ficheros con datos personales.
– Flujo transfronterizo de datos (transferencias internacionales).
– Medidas de seguridad.
– Procedimientos administrativos y sancionadores.
– Publicidad.
– Registro general de protección de datos.
El reglamento abarca el ámbito tutelado anteriormente por los reales decretos 1332/1994, de 20 de junio, y 994/1999, de 11 de junio, teniendo en cuenta la necesidad de fijar criterios aplicables a los ficheros y tratamientos de datos personales no automatizados.
La publicación de este Reglamento deja sin efecto el Real Decreto 994/1999, comúnmente llamado Reglamento de Medidas de Seguridad.
La atribución de funciones a la Agencia Española de Protección de Datos por la Ley 34/2002, de 11 de julio, de Servicios de la sociedad de la información y de comercio electrónico y la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones obliga a desarrollar también los procedimientos para el ejercicio de la potestad sancionadora por la Agencia.
6.3. OBJETIVOS PRINCIPALES
Este Reglamento comparte con la Ley Orgánica la finalidad de hacer frente a los riesgos que para los derechos de la personalidad pueden suponer el acopio y tratamiento de datos personales. Esta norma reglamentaria nace con la vocación de no reiterar los contenidos de la norma superior y de desarrollar, no sólo los mandatos contenidos en la Ley Orgánica de acuerdo con los principios que emanan de la Directiva, sino también aquellos que se ha demostrado que precisan de un mayor desarrollo normativo.
El Reglamento de Protección de Datos plasma dos objetivos principales:
– El desarrollo específico de aspectos jurídicos que ya venían contemplados de forma abstracta como principios generales en la LOPD, tales como la obtención del consentimiento, las cesiones de datos, el encargo de tratamiento, etc.
– La delimitación de los procedimientos organizativos y medidas técnicas a implantar tanto en ficheros automatizados, como en ficheros no automatizados, entendiendo incluido dentro de este concepto aquellos ficheros organizados en soporte papel y de manejo manual.
6.4. ESTRUCTURA
El reglamento se estructura en nueve títulos cuyo contenido desarrolla los aspectos esenciales en esta materia.
– Título I: Contempla el objeto y ámbito de aplicación del reglamento. A lo largo de la vigencia de la Ley Orgánica 15/1999, se ha advertido la conveniencia de desarrollar el apartado 2 de su artículo 2 para aclarar qué se entiende por ficheros y tratamientos relacionados con actividades personales o domésticas, aspecto muy relevante dado que están excluidos de la normativa sobre protección de datos de carácter personal.
El reglamento no contiene previsiones para los tratamientos de datos personales a los que se refiere el apartado 3 del artículo 2 de la ley orgánica, dado que se rigen por sus disposiciones específicas y por lo especialmente previsto, en su caso, por la propia Ley Orgánica 15/1999. En consecuencia, se mantiene el régimen jurídico propio de estos tratamientos y ficheros.
En este Título se aporta un conjunto de definiciones que ayudan al correcto entendimiento de la norma, lo que resulta particularmente necesario en un ámbito tan tecnificado como el de la protección de datos personales. Por otra parte, fija el criterio a seguir en materia de cómputo de plazos con el fin de homogeneizar esta cuestión evitando distinciones que suponen diferencias de trato de los ficheros públicos respecto de los privados.
– Título II: Se refiere a los principios de la protección de datos. Reviste particular importancia la regulación del modo de captación del consentimiento atendiendo a aspectos muy específicos como el caso de los servicios de comunicaciones electrónicas y, muy particularmente, la captación de datos de los menores.
Asimismo, se ofrece lo que puede definirse como un estatuto del encargado del tratamiento, que sin duda contribuirá a clarificar todo lo relacionado con esta figura. Las previsiones en este ámbito se completan con lo dispuesto en el Título VIII en materia de seguridad dotando de un marco coherente a la actuación del encargado.
– Título III: Se ocupa de una cuestión tan esencial como los derechos de las personas en este ámbito.
– Títulos IV al VII: Clarifican aspectos importantes para el tráfico ordinario, como la aplicación de criterios específicos a determinado tipo de ficheros de titularidad privada que por su trascendencia lo requerían (los relativos a la solvencia patrimonial y crédito y los utilizados en actividades de publicidad y prospección comercial), el conjunto de obligaciones materiales y formales que deben conducir a los responsables a la creación e inscripción de los ficheros, los criterios y procedimientos para la realización de las transferencias internacionales de datos, y, finalmente, la regulación de un instrumento, el código tipo, llamado a jugar cada vez un papel más relevante como elemento dinamizador del derecho fundamental a la protección de datos.
– Título VIII: Regula un aspecto esencial para la tutela del derecho fundamental a la protección de datos, la seguridad, que repercute sobre múltiples aspectos organizativos, de gestión y aun de inversión, en todas las organizaciones que traten datos personales.
El reglamento trata de ser particularmente riguroso en la atribución de los niveles de seguridad, en la fijación de las medidas que corresponda adoptar en cada caso y en la revisión de las mismas cuando ello resulte necesario.
Ordena con mayor precisión el contenido y las obligaciones vinculadas al mantenimiento del documento de seguridad. Se ha pretendido regular la materia de modo que contemple las múltiples formas de organización material y personal de la seguridad que se dan en la práctica.
Se regula un conjunto de medidas destinadas a los ficheros y tratamientos estructurados y no automatizados que ofrezca a los responsables un marco claro de actuación.
– Título IX: Dedicado a los procedimientos tramitados por la Agencia Española de Protección de Datos, se ha optado por normar exclusivamente aquellas especialidades que diferencian a los distintos procedimientos tramitados por la Agencia de las normas generales previstas para los procedimientos en la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, cuya aplicación se declara supletoria al presente reglamento.
6.5. NOVEDADES
6.5.1. Generalidades
El Reglamento se ha concebido como un instrumento para elevar a norma legal la interpretación que sobre diversas cuestiones controvertidas ha realizado la Agencia Española de Protección de Datos y que han sido posteriormente avaladas por los Tribunales a través de sus sentencias.
La aprobación del nuevo reglamento mejora la seguridad jurídica solventando asuntos y lagunas interpretativas pendientes como, por ejemplo, los requisitos para que el consentimiento tácito pueda ser considerado válido, los medios sencillos y gratuitos que los responsables de ficheros deberán poner a disposición de las personas para el ejercicio de sus derechos de acceso, rectificación, cancelación y oposición y el incremento de las medidas de seguridad en aquellos tratamientos de datos personales derivados de la violencia de género, que deberán aplicar las medidas de nivel alto.
También zanja definitivamente el debate sobre la aplicación de la legislación de protección de datos a las personas fallecidas y si las mismas gozan del derecho fundamental a la protección de datos personales o no, dando una respuesta negativa a esta cuestión a través de la aplicación estricta del concepto de persona establecido en el Derecho civil español.
No obstante, teniendo en cuenta las situaciones dolorosas que se pueden producir para los familiares de personas fallecidas, se habilita la posibilidad de que sus allegados puedan comunicar al responsable del fichero el fallecimiento y solicitar la cancelación de los datos.
Los aspectos mencionados y estos otros, se comentarán en los apartados sucesivos:
– El reglamento se aplica ahora también a los ficheros y tratamientos no automatizados (papel) y se fijan criterios específicos sobre las medidas de seguridad de los mismos.
– Se garantiza que las personas, antes de consentir que sus datos sean recogidos y tratados, puedan tener un pleno conocimiento de la utilización que se vaya a hacer de estos datos.
– Para el ejercicio de los derechos de los interesados, se exige de manera expresa al responsable de los ficheros que conceda al interesado un medio sencillo y gratuito para su ejercicio. Se prohíbe exigir el envío de cartas certificadas o semejantes o la utilización de medios de telecomunicaciones que impliquen el pago de una tarifa adicional.
– Todos los datos derivados de la violencia de género pasan del nivel básico de seguridad a un nivel alto.
– Especificaciones sobre los menores de edad, sobre la solvencia patrimonial y crédito, y sobre la Tarjeta sanitaria.
– Se regula que los familiares/allegados de personas fallecidas puedan comunicar al responsable del fichero el fallecimiento y solicitar la cancelación e sus datos.
6.5.2. Aspectos Jurídicos
El Reglamento acrecienta la seguridad jurídica y resuelve determinadas cuestiones o lagunas interpretativas que pudieran existir en la actualidad, con especial atención a todo aquello que pueda suscitar una mayor sensibilidad a los titulares del derecho y los sujetos obligados por la Ley. Recoge, además, la interpretación que de la Ley Orgánica han efectuado los Tribunales a través de la jurisprudencia.
En cuanto a los aspectos jurídicos que se tratan en el Reglamento, han de resaltarse:
– La insistencia de determinar que la carga de la prueba de haber informado debidamente con todos los requisitos y haber obtenido el debido consentimiento de un usuario para tratar sus datos, recae en el responsable del fichero.
– Especificaciones para la obtención del consentimiento (para el tratamiento, para cesiones, en datos especialmente sensibles, etc.), cómo obtener de forma válida un consentimiento tácito, etc.
– La obligación de ofrecer a un cliente en un proceso de contratación la posibilidad de negarse a que se utilicen sus datos para finalidades que no sean estrictamente el cumplimiento del objeto contractual.
– La determinación de varias obligaciones del encargado de tratamiento para poder subcontratar todo o parte de sus servicios con las debidas garantías para el responsable del fichero, obligaciones de conservación de datos, contenido de su documento de seguridad, remisión de las peticiones de acceso, rectificación, cancelación y oposición al responsable del fichero, etc.
– Las diversas formas de atender los derechos de acceso, rectificación y cancelación, delimitación de los plazos legales para contestar, necesidades de concienciación y difusión del procedimiento en la compañía, la regulación del contenido del derecho de oposición, no delimitado previamente en el texto de la LOPD, etc.
6.5.3. Mayor Seguridad de los Datos
En relación con las medidas de seguridad en ficheros informatizados, algunas de las novedades más importantes son:
– Se extiende la necesidad de tener un registro de los accesos producidos a ficheros calificados de nivel medio. Esta obligación que anteriormente sólo aplicaba al nivel alto de seguridad, es una de las más controvertidas, puesto que supone un coste muy importante en tecnología y medios humanos para compañías que tengan ficheros en el sector financiero, seguros, ficheros de perfiles, etc.
– Se mantiene la obligación de realizar una Auditoría de ficheros y sistemas, al menos cada dos años, para ficheros de nivel medio y alto, no obstante, se añade la obligación de notificar a la Agencia Española de Protección de Datos la fecha del correspondiente Informe de Auditoría, así como la indicación de si se ha realizado interna o externamente. Así pues, la AEPD contará con la información relativa a los ficheros inscritos por esa entidad en el Registro General de Protección de Datos, además de lo previsto respecto a la Auditoría.
– Se incluye como una medida de nivel medio de seguridad la de llevar a cabo el cifrado de dispositivos portátiles que contengan datos personales cuando salgan de la entidad donde se encuentren los ficheros con datos. Esta medida interpretada en sentido general afectará a todo tipo de dispositivos que permitan el almacenamiento de información, piénsese en pendrives, portátiles, teléfonos móviles, PDA´s, etc.
Todo ello obligará a la entidad a invertir en la tecnología necesaria y mantener políticas muy estrictas en relación con la salida de información fuera de la compañía por los propios empleados.
La seguridad de la información se refuerza con el nuevo Reglamento.
6 5 4. Cambios en los niveles
Respecto a las principales novedades en materia de seguridad de los datos, el nuevo Reglamento introduce los siguientes cambios:
Pasan de nivel básico a nivel medio de seguridad los ficheros de:
– Entidades Gestoras y Servicios Comunes de la Seguridad Social.
– Mutuas de accidentes de trabajo y de enfermedades profesionales de la Seguridad Social.
– Ficheros que contengan datos sobre características o personalidad de los ciudadanos que permitan deducir su comportamiento.
Es en este apartado donde probablemente esta medida tendrá un mayor impacto, en función de cómo se define y se decanta el concepto de “características o personalidad de los ciudadanos que permita deducir su comportamiento” ya que dicha formulación resulta bastante indefinida.
– Ficheros de los operadores de servicios de comunicaciones electrónicas disponibles al público o que exploten redes públicas de comunicaciones electrónicas sobre datos de tráfico y localización.
Además, se exige a estos operadores establecer un registro de acceso a tales datos para determinar quién ha intentado acceder a esos datos, fecha y hora en que se ha intentado este acceso y si ha sido autorizado o denegado.
En relación con la tipología de datos, el borrador de Reglamento incluye como datos merecedores del nivel medio de seguridad los relativos a menores de edad y a víctimas de violencia de género, y equipara al nivel alto de los datos especialmente sensibles, los datos de tráfico y localización, tratados por los operadores de telecomunicaciones.
Esta novedad implica una serie de medidas adicionales que los operadores deberán asumir, junto a aquellas obligaciones que finalmente se impongan a nivel europeo en materia de retención de datos para la lucha contra el terrorismo.
Tras la aprobación de la Ley 25/2007, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones, se establece la obligatoriedad para estos operadores de conservar durante un año ciertas categorías de estos datos para facilitar la labor de las fuerzas y cuerpos de seguridad.
Dada la potencial amenaza para la privacidad de las personas que un uso ilegítimo de estos datos puede suponer –como el establecimiento de perfiles y patrones de comportamiento de las personas a través de sus comunicaciones electrónicas (números a los que llama o desde los que es llamada, direcciones de correo electrónico a las que escribe o desde las que recibe mensajes…)-, se aumenta el nivel de seguridad de estos ficheros para garantizar en la medida de lo posible que sólo sean accedidos y utilizados por los usuarios autorizados y para finalidades legítimas.
Pasan de nivel básico a nivel alto de seguridad:
– Todos los datos derivados de la violencia de género.
Para facilitar a los obligados a cumplir las medidas de seguridad, se exige que los productos de software destinados al tratamiento de datos personales incluyan en su descripción el nivel de seguridad, ya sea básico, medio o alto, que permiten alcanzar de acuerdo con el Reglamento.
Se establecen ciertas especialidades para facilitar la implantación de medidas de seguridad. Así, bastará con aplicar las medidas de seguridad de nivel básico, en lugar de las de nivel alto, respecto a datos especialmente protegidos cuando sólo se utilicen para el pago de cuotas a las entidades de las que los titulares de los datos sean miembros.
Lo mismo se permite respecto a los datos referentes exclusivamente al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez, cuando tengan por única finalidad cumplir una obligación legal. Esto es particularmente aplicable a los datos relativos a la afiliación sindical o respecto a los datos de salud en los ficheros de nóminas.
6 5 5. Seguridad de los Datos en papel
Quizás la más importante de la novedades es la resolución de una de las carencias de la anterior normativa de desarrollo de la LORTAD –la primera ley de protección de datos existente en España aprobada en 1992 y sustituida por la LOPD en 1999- y que se mantenía en vigor tras la aprobación de esta última: la concreción de las medidas de seguridad que deben aplicarse a los ficheros manuales estructurados (es decir, ficheros en soporte papel).
Como punto principal, hemos de resaltar las medidas de seguridad que se establecen para los ficheros no automatizados. Al igual que para los informáticos, se mantienen tres niveles diferentes de seguridad: básico, medio y alto. En este sentido, todas las entidades tienen que empezar a pensar cómo implantar en sus ficheros papel de nóminas, contratos, albaranes, facturas, autorizaciones, etc., medidas de seguridad tales como:
– Inventariado de ficheros, almacenamiento controlado, criterios de archivo para la conservación, localización y consulta, y posibilitar el ejercicio de los derechos de acceso, rectificación, cancelación y oposición.
– Dotación de seguridad en los locales como dispositivos ignífugos y equipamiento contra incendios, control de acceso a armarios y archivadores ubicados en áreas de acceso restringido o bajo vigilancia de personal autorizado, y mecanismos que impidan el libre acceso a los mismos por personas no autorizadas, limitar la posibilidad de copiar documentos y acceder a las copias y realizar un control para evitar accesos no autorizados.
– Registro de accesos (solicitud de acceso, registro del mismo, conservación de estos registros durante dos años, etc.), almacenamiento de la información en armarios y archivadores con llave o similar, custodia de la información durante su proceso de tramitación antes de ser archivada en el fichero, medidas para impedir la manipulación de documentación cuando se traslade y controles que permitan detectar si se ha producido algún acceso no autorizado, etc.
Sin lugar a dudas, estas obligaciones serán de aplicación en entidades de prácticamente todo tipo de sectores, pero pensemos lo que medidas de este tipo pueden suponer en entidades en las que algunos de sus procesos principales pasan por el manejo de información en papel, tales como entidades bancarias y financieras (recibos, extractos, documentación entregada por clientes, etc.), hospitales y clínicas (historiales médicos), compañías de seguros (pólizas, documentación para gestión de siniestros, etc.), Administraciones Públicas (todo tipo de documentación de ciudadanos), tribunales de justicia (expedientes procesales), sector inmobiliario (contratos, escrituras, etc.) y un largo etcétera.
El hecho de que los ficheros no automatizados se incluyan en el ámbito de esta norma y se impongan medidas de seguridad específicas, implica la complicada tarea de localizar e inventariar tales ficheros y alinear sus medidas con los procedimientos de seguridad de la empresa.
6 5 6. Publicidad y prospección comercial
Ante la creciente externalización de estos servicios de obtención de datos, se regulan de manera detallada las relaciones entre el responsable del tratamiento y el encargado del mismo. Así, el responsable del fichero que encargue esa contratación tendrá que vigilar que el encargado al que va a contratar reúna las garantías para cumplir el régimen de protección de los datos, en especial en cuanto a su conservación y seguridad.
Como regla general, para que el encargado del tratamiento contratado pueda a su vez subcontratar algunos de los servicios, debe estar autorizado por el responsable del fichero o tratamiento. Se exigen determinados requisitos de actuación por parte del subcontratista, a fin de que el responsable del fichero nunca pierda el conocimiento y control acerca de los tratamientos realizados, en última instancia, en su nombre y su cuenta.
Además:
– La entidad que contrate con una empresa la realización de una campaña publicitaria estará obligada a asegurarse de que ésta ha recabado los datos cumpliendo con todo lo establecido en la Ley.
– Será obligatorio el consentimiento del afectado para que los responsables de distintos ficheros puedan cruzar sus datos para promocionar o comercializar productos o servicios.
– Se regulan las denominadas “listas de exclusión” o “listas Robinson” para que cualquier afectado, que obligatoriamente debe ser informado de su existencia, pueda comunicar al responsable de un fichero que no desea recibir publicidad. Estas listas serán de obligada consulta previa por parte de quienes realicen actividades de publicidad o prospección comercial.
6.5.7. Transferencias Internacionales de Datos
Se establece un régimen sistemático de las mismas, con la posibilidad de que el Director de la Agencia Española de Protección de Datos declare la existencia de un nivel adecuado de protección en un Estado respecto del que no exista la Decisión adecuada por parte de la unión Europea.
También se aclaran los supuestos en que se podrán aportar garantías que permitan la autorización de una transferencia por parte del Director, incluyendo en este apartado las denominadas “binding corporate rules”, o códigos internos de los grupos multinacionales de empresas, cuyo incumplimiento pudiera ser denunciado ante la Agencia.
Se introduce la opción de suspensión o revocación de una determinada transferencia que hubiera sido previamente autorizada por parte del Director de la Agencia Española de Protección de Datos cuando se hubiera dado incumplimiento o falta de garantías.
Teniendo en cuenta las sensibilidades que se pudieran dar en la transferencia internacional de datos, sobre todo cuando pueda implicar la deslocalización de servicios prestados en territorio español, se incluirá un procedimiento de autorización de un trámite de información pública, donde se podrán aportar alegaciones sobre la legalidad de estas actuaciones.
Como se puede comprobar, el ámbito y contenido de este Reglamento es muy amplio, y su entrada en vigor obliga a todas las entidades, públicas y privadas, a revisar sus procedimientos, políticas, cláusulas, documento de seguridad y medidas de seguridad para lograr una adaptación a esta norma, ya que sigue absolutamente vigente el régimen sancionador previsto en la LOPD.
6.5.8. Menores de Edad
Sin duda uno de los elementos a los que el nuevo Reglamento ha prestado más atención y en el que existen más novedades. Se establecen medidas específicas para el tratamiento de datos de menores de edad prohibiéndose, como regla general, pedir o tratar datos de menores de catorce años sin el consentimiento de sus padres. Si son mayores de esa edad, no se exige dicho consentimiento, salvo que sean actos que los menores de dieciocho años no puedan realizar sin permiso paterno.
Si, además, se pretende recoger datos con información relativa a los miembros del grupo familiar o sus características, será necesario que los titulares de los mismos den su consentimiento.
Los menores de edad deberán ser informados con un lenguaje claro, que les sea fácilmente comprensible y se tendrá que garantizar que se ha comprobado la edad del menor y la autenticidad del consentimiento prestado.
6.5.9. Tarjeta Sanitaria
Para facilitar la asistencia sanitaria por el Sistema Nacional de Salud y facilitar la utilización de la tarjeta sanitaria individual, expresamente se aclara que no es necesario el consentimiento del interesado para la comunicación de datos sobre la salud, incluso a través de medios electrónicos, entre los distintos centros, cuando se realice para la atención sanitaria de las personas.
6 5 10. Solvencia Patrimonial y Crédito
Se introducen importantes novedades en el tratamiento de esta información. Para la inclusión de estos datos, además de la existencia previa de una deuda cierta, vencida y exigible que haya resultado impagada, es necesario que no se haya entablado una reclamación de tipo judicial, arbitral o administrativa sobre la misma. Además, es precisa la notificación de la inclusión, impuesta por la Ley Orgánica de Protección de Datos, de forma que no se incluyan aquellas deudas respecto de las que no conste la recepción de dicha notificación.
– En cuanto que la deuda haya sido pagada, deberán ser cancelados de manera inmediata los datos relativos a ella. También se prohíbe mantener en los ficheros al respecto el denominado “saldo cero”.
– Se establece la responsabilidad del acreedor, o persona que actúe por su cuenta, si aporta datos inexactos para su inclusión en el fichero.
– Se regula de forma detallada el deber de información al deudor. En primer lugar, deberá ser advertido de su posible inclusión en el fichero en el momento de suscribir un contrato del que pueda derivarse una deuda futura. En caso de impago, deberá informarse al deudor, tanto con carácter previo a la inclusión del dato en el fichero, como en los treinta días siguientes a la inclusión.
6.5.11. Aplicación en PYMES
En el ámbito de las PYMES (pequeñas y medianas empresas) podemos destacar:
– Bastará con aplicar las medidas de seguridad de nivel básico, en lugar de las de nivel alto, respecto a los datos especialmente protegidos cuando sólo se utilicen para el pago de cuotas a las entidades de las que los titulares de los datos sean miembros.
– Lo mismo se permite respecto a los datos referentes exclusivamente al grado de discapacidad o invalidez, cuando tengan por finalidad cumplir con una obligación legal.
– Esto es particularmente aplicable a los datos relativos a la afiliación sindical o respecto a la salud en los ficheros de nóminas.
6.6. RÉGIMEN SANCIONADOR
El nuevo Reglamento de la LOPD incluye y clarifica algunas cuestiones prácticas sobre las que ya se había decantado la AEPD en procedimientos sancionadores y, sobre todo, incluye una serie de requisitos adicionales, nuevas dudas y nuevas medidas que obligarán a todas las entidades a estar al tanto del avance legislativo de este texto.
Sobre la potestad sancionadora de la Agencia Española de Protección de Datos, no se modifican las infracciones, sanciones o cuantía de las multas, pero sí se introduce un límite temporal de doce meses a la duración de la incoación de un expediente sancionador.
Transcurrido ese plazo sin un procedimiento sancionador, estas actuaciones previas se entenderán como caducadas.
Esto redundará, sin duda, en beneficio de los ciudadanos, ya que podrán conocer en un periodo de tiempo razonable si su conducta es o no merecedora de sanción.
6.7. RÉGIMEN TRANSITORIO
Para el cumplimiento de las nuevas medidas de seguridad se establece un régimen transitorio de implantación de las mismas a los ficheros y tratamientos actualmente existentes.
En este caso, para los ficheros en soportes no automatizados se fijan plazos de un año, dieciocho meses y dos años para los niveles básico, medio y alto, respectivamente.
En cuanto a los ficheros automatizados, en un año deberán implantarse las medidas de seguridad de nivel medio para aquellos que en la actualidad están clasificados como de nivel básico; en el plazo de un año para implantar las medidas de seguridad de nivel medio y de dieciocho meses para implantar las medidas de nivel alto para los ficheros con datos sobre violencia de género y los datos referentes a tráfico y localización en comunicaciones electrónicas disponibles al público, que actualmente están en el nivel básico.
Todos los ficheros, ya sean automatizados o no, que sean creados con posterioridad a la entrada en vigor del presente Reglamento, tendrán que cumplir las medidas previstas, sin que exista ningún plazo transitorio de adaptación. 

No hay comentarios:

Publicar un comentario