MANUAL LOPD - privado.icagr.esprivado.icagr.es/privado/manuales/Manual para abogados 3_v1.pdf ·...

Pedro Rodríguez López de Lemus

MANUAL DE IMPLANTACIÓN LOPDPARA ABOGADOS

Manual elaborado para el Ilustre Colegio de Abogados de Granada con la colaboración de la Comisión de Nuevas Tecnologías del ICAGR, la asociación

de Abogados Especialistas en Nuevas Tecnologías de Andalucía, y la comisión de Protección de Datos en Andalucía de ANDCE, cuyo objetivo es ayudar a

los abogados a cumplir la normativa de protección de datos personales en su actividad profesional.

Una forma fác i l para conocer la Ley Orgánica de Protección de Datos y su Reglamento de desarrol lo

Queda prohibida toda reproducción de la obra o partes de la misma por cualquier medio sin la preceptiva autorización previa.

El contenido es meramente informativo, por lo que se declina cualquier responsabilidad en el uso e interpretación del mismo.

Copyright © 2009 Pedro Rodríguez López de Lemus

Cuarta edición: Diciembre 2009

Registro General de la Propiedad Intelectual: 04/2009/87

Pedro Rodríguez López de Lemus es abogado especialista en derecho de las nuevas tecnologías y Doctorando en el programa sobre derecho de las nuevas tecnologías de la Universidad Pablo de Olavide (UPO). Presidente de la Asociación Andaluza de Comercio Electrónico (ANDCE), de la Asociación Empresarial Andaluza de Comercio Electrónico (ANDCE-e), y de la Asociación de Abogados Especialistas en Nuevas Tec-nologías de Andalucía (AENTA). Miembro de la Comisión de Nuevas Tecnologías del Ilustre Colegio de Abogados de Sevilla (ICAS). Miembro de la Comisión de Protección de Datos en Andalucía de ANDCE. Delegado en Andalucía de la Asociación Españo-la de Derecho de Propiedad Intelectual (AEDPI). Representante de Egresados en la Comisión de Garantía Interna de Calidad, por la Rama de Conocimiento de Ciencias Sociales, Jurídicas y Económicas de la Universidad Pablo de Olavide (UPO). Profesor de Derecho de Nuevas Tecnologías del Máster M.B.A T.I.C. de la Cámara de Comercio de Sevilla. Coautor del libro “La empresa ante la normativa sobre protección de datos”. Au-tor del “Manual de implantación LOPD para Abogados”. Autor del “Manual de implant-ación LOPD para Procuradores”. Ponente de la proposición de Ley 6-03/PPL-000008, de creación de la Agencia Andaluza de Protección de Datos. Amplia experiencia en la organización e impartición de jornadas, conferencias, sesiones y cursos sobre el com-ercio electrónico y el derecho de las nuevas tecnologías en distintos colegios profe-sionales, asociaciones empresariales, cámaras de comercio, otras entidades privadas y administraciones públicas. Colaborador habitual de diversos diarios generalistas, económicos y revistas informáticas y jurídicas especializadas. Autor del blog www.dn-tecnologias.es. Más información en “http://www.dntecnologias.es/?page_id=39”.

SOBRE EL AUTOR

Prólogo 4

Introducción 5

Definiciones 7

¿Qué es la protección de datos personales? 11

Ámbito de aplicación 14

Sujetos 18

Obligaciones 22

Responsabilidades 42

Protección de datos y Abogados 49

Anexo. Preguntas frecuentes 51

ÍNDICE

La protección de la intimidad de las personas, en la sociedad de conocimiento, se revela como una necesidad que en las sociedades modernas se ha configurado con derecho fundamental. Así, y de conformidad con la legislación comunitaria que nos afecta, en España se ha venido regulando la protección de datos de carácter personal desde 1992, mediante normas que por la materia que desarrollan tienen cierto grado de complejidad.

Como Abogados, en nuestra tarea profesional diaria, manejamos información confi-dencial e íntima de las personas que intervienen en aquellos asuntos que tenemos encomendados, y por ese motivo debemos conocer la normativa legal que nos afecta con el fin de cumplir con todo rigor la ley.

Esto es lo que pretende este Manual para Abogados orientado a facilitar el cono-cimiento y el alcance de la normativa sobre protección de datos de carácter personal, así como los procedimientos para la implantación de las medidas organizativas y téc-nicas que impone la norma a quienes hacemos tratamiento de datos personales.

Alberto J. Rodríguez García

Presidente de la Comisión de Nuevas Tecnologías

Ilustre Colegio de Abogados de Granada

PRÓLOGO

INTRODUCCIÓN

A los abogados les afecta esta protección de datos personales, además de cómo ciudadanos, desde una doble perspectiva, como sujeto activo deben impulsar su cumplimiento entre sus clientes, y como sujeto pasivo tienen

la obligación de cumplirla respecto a los tratamientos de datos personales que realizan en su actividad profesional.

6

Intr

od

ucc

ión

Los avances tecnológicos, informáticos, y el uso de Internet en todas las facetas de la vida hacen necesaria la protección de los datos de carácter personal de los ciu-dadanos. A los abogados les afecta esta protección de datos personales, además de cómo ciudadanos, desde una doble perspectiva, como sujeto activo deben impul-sar su cumplimiento entre sus clientes, y como sujeto pasivo tienen la obligación de cumplirla respecto a los tratamientos de datos personales que realizan en su actividad profesional, ya que raro es hoy día un abogado que no trate datos personales, en for-mato informático o papel, de sus clientes, de los clientes de éstos, de otros profesion-ales, de empleados, etcétera, en el desarrollo de su profesión.

Por ello, el objetivo de este manual es ayudar a los abogados a tener un conocimiento básico de esta materia y facilitar el cumplimiento en su actividad profesional. Para ello analizamos el contenido principal de esta normativa, añadiendo la documentación necesaria para su efectiva aplicación.

Para terminar esta introducción, y antes de pasar al primer punto, se debe dejar claro un concepto importante en esta materia. Los datos personales que tratan los aboga-dos en sus despachos no les pertenecen, sino que pertenecen a los afectados, es decir, a las personas a las que hacen referencia esos datos.

DEFINICIONES

Una vez declaradas nuestras intenciones, pasamos a dicho análisis. Lo primero es acercarnos a algunos conceptos básicos sobre esta materia.

Def

inic

ion

es

8

Una vez declaradas nuestras intenciones, pasamos a dicho análisis. Lo primero es acercarnos a algunos conceptos básicos sobre esta materia:

Afectado o interesado: Persona física titular de los datos que sean objeto del tratami-ento.

Cancelación: Procedimiento en virtud del cual el responsable cesa en el uso de los da-tos. La cancelación implicará el bloqueo de los datos, consistente en la identificación y reserva de los mismos con el fin de impedir su tratamiento excepto para su puesta a disposición de las Administraciones públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento y sólo durante el plazo de prescripción de dichas responsabilidades. Transcurrido ese plazo deberá procederse a la supresión de los datos.

Cesión o comunicación de datos: Tratamiento de datos que supone su revelación a una persona distinta del interesado.

Consentimiento del interesado: Toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen.

Dato disociado: Aquél que no permite la identificación de un afectado o interesado.

Datos de carácter personal: Cualquier información numérica, alfabética, gráfica, fo-tográfica, acústica o de cualquier otro tipo concerniente a personas físicas identifica-das o identificables.

Datos de carácter personal relacionados con la salud: Las informaciones concerni-entes a la salud pasada, presente y futura, física o mental, de un individuo. En particu-lar, se consideran datos relacionados con la salud de las personas los referidos a su porcentaje de discapacidad y a su información genética.

Destinatario o cesionario: La persona física o jurídica, pública o privada u órgano ad-ministrativo, al que se revelen los datos. Podrán ser también destinatarios los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados.

Encargado del tratamiento: La persona física o jurídica, pública o privada, u órgano administrativo que, solo o conjuntamente con otros, trate datos personales por cuen-ta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ám-bito de su actuación para la prestación de un servicio. Podrán ser también encarga-dos del tratamiento los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados.

Exportador de datos personales: La persona física o jurídica, pública o privada, u órga-no administrativo situado en territorio español que realice, conforme a lo dispuesto en el presente Reglamento, una transferencia de datos de carácter personal a un país tercero.

Fichero: Todo conjunto organizado de datos de carácter personal, que permita el ac-ceso a los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.

Defin

icion

es

9

Ficheros de titularidad privada: Los ficheros de los que sean responsables las per-sonas, empresas o entidades de derecho privado, con independencia de quien os-tente la titularidad de su capital o de la procedencia de sus recursos económicos, así como los ficheros de los que sean responsables las corporaciones de derecho público, en cuanto dichos ficheros no se encuentren estrictamente vinculados al ejercicio de potestades de derecho público que a las mismas atribuye su norma-tiva específica.

Ficheros de titularidad pública: Los ficheros de los que sean responsables los órga-nos constitucionales o con relevancia constitucional del Estado o las instituciones autonómicas con funciones análogas a los mismos, las Administraciones públicas territoriales, así como las entidades u organismos vinculados o dependientes de las mismas y las Corporaciones de derecho público siempre que su finalidad sea el ejercicio de potestades de derecho público.

Fichero no automatizado: Todo conjunto de datos de carácter personal organi-zado de forma no automatizada y estructurado conforme a criterios específicos relativos a personas físicas, que permitan acceder sin esfuerzos desproporciona-dos a sus datos personales, ya sea aquél centralizado, descentralizado o repartido de forma funcional o geográfica.

Importador de datos personales: La persona física o jurídica, pública o privada, u órgano administrativo receptor de los datos en caso de transferencia internacion-al de los mismos a un tercer país, ya sea responsable del tratamiento, encargada del tratamiento o tercero.

Persona identificable: Toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social. Una persona física no se consid-erará identificable si dicha identificación requiere plazos o actividades despropor-cionados.

Procedimiento de disociación: Todo tratamiento de datos personales que permita la obtención de datos disociados.

Responsable del fichero o del tratamiento: Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que sólo o conjuntamente con otros decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente. Podrán ser también responsables del fichero o del tratamiento los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferencia-dos.

Tercero: La persona física o jurídica, pública o privada u órgano administrativo distinta del afectado o interesado, del responsable del tratamiento, del responsa-ble del fichero, del encargado del tratamiento y de las personas autorizadas para tratar los datos bajo la autoridad directa del responsable del tratamiento o del en-cargado del tratamiento. Podrán ser también terceros los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados.

Transferencia internacional de datos: Tratamiento de datos que supone una trans-

Def

inic

ion

es

10

misión de los mismos fuera del territorio del Espacio Económico Europeo, bien con-stituya una cesión o comunicación de datos, bien tenga por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero establecido en ter-ritorio español.

Tratamiento de datos: Cualquier operación o procedimiento técnico, sea o no autom-atizado, que permita la recogida, grabación, conservación, elaboración, modificación, consulta, utilización, modificación, cancelación, bloqueo o supresión, así como las ce-siones de datos que resulten de comunicaciones, consultas, interconexiones y trans-ferencias.

¿QUÉ ES LA PROTECCIÓN DE

DATOS PERSONALES?

El objeto de la normativa en protección de datos personales no es otro que garantizar y proteger, en lo que concierne al tratamiento de los datos per-sonales, las libertades públicas y los derechos fundamentales de las perso-

nas físicas, especialmente de su honor e intimidad personal y familiar.

¿Qu

é es

la p

rote

cció

n d

e d

ato

s p

erso

nal

es?

12

Toca ahora saber sobre que estamos hablando realmente, ¿qué es la protección de datos personales? Definiremos la protección de datos personales como el derecho que tienen los ciudadanos a que sus datos personales no sean utilizados por terceros sin la autorización debida.

El objeto de la normativa en protección de datos personales no es otro que garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, especialmente de su honor e intimidad personal y familiar.

3.1. Derecho FundamentalEn efecto, el derecho a la protección de datos personales es un derecho fundamental, con todo lo que esto conlleva respecto a su tratamiento legislativo y su especial pro-tección en los Tribunales.

En nuestra Constitución de 1978 el artículo 18.4, dice literalmente “La Ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.” No se refiere este artículo a la protec-ción de datos propiamente dicha, sino a su fundamento primigenio.

Es el Tribunal Constitucional quien en su Sentencia 292/2000 consagra el derecho a la protección de datos como un derecho fundamental autónomo y distinto del derecho a la intimidad, pues es más amplio, ya que abarca a aspectos que no podrían consid-erarse como íntimos propiamente y que, sin embargo, son protegidos igualmente.

3.2. LegislaciónA partir del mandato Constitucional de garantizar el honor y la intimidad personal y familiar frente al uso de la informática el Legislador dio a luz en el año 1992 la Ley Orgánica de regulación del tratamiento automatizado de los datos de carácter per-sonal, conocida como la LORTAD. Fue ésta la primera regulación en nuestro país en esta materia, que fue seguida por distintos Reglamentos de desarrollo.

En el año 1995 se aprobó la Directiva Europea relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de datos.

En diciembre de 1999 se publicó la Ley Orgánica de Protección de Datos de Carácter Personal, en adelante LOPD, actualmente en vigor.

Con bastante posterioridad a la aparición de la LOPD se publica el Real Decreto 1720/2007, de 21 de diciembre por el que se aprueba el primer Reglamento de de-sarrollo de la LOPD, ya que los anteriores Reglamentos desarrollaban la LORTAD. El día 19 de abril de 2008 entró en vigor el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, en ad-elante RDLOPD, que deroga el Real Decreto 1332/1994, de 20 de junio, por el que se desarrollan determinados aspectos de la Ley Orgánica 5/1992, de 29 de octubre,

¿Qu

é es la pro

tección

de

dato

s perso

nales?

13

de Regulación del tratamiento automatizado de los datos de carácter personal, el Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de Medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal y todas las normas de igual o inferior rango que contradigan o se opongan a lo dispuesto en este Real Decreto.

3.3. Códigos TipoLos códigos tipo son códigos deontológicos o de buena praxis profesional. Esta-mos hablando de acuerdos voluntarios de empresas o profesionales, o convenios administrativos, así como de las organizaciones en que éstos se agrupen. Estos códigos deben ser depositados o inscritos en el Registro General de Protección de Datos.

Este manual que nos ocupa no es un código tipo que añada un plus de cumplim-iento para los abogados en esta materia, sino una descripción práctica de la nor-mativa en protección de datos personales.

ÁMBITO DEAPLICACIÓN

Según la LOPD, “será de aplicación a los datos de carácter personal registra-dos en soporte físico que los haga susceptibles de tratamiento, y a toda mo-dalidad de uso posterior de estos datos por los sectores público y privado.”

Ám

bito

de ap

licación

15

4.1. Ámbito objetivoSegún la LOPD, “será de aplicación a los datos de carácter personal registrados en soporte físico que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado.”

Ante todo hay que saber que es un dato de carácter personal. Es cualquier in-formación concerniente a personas físicas identificadas o identificables. Ello nos lleva a definir persona identificable como toda aquella cuya identidad pueda de-terminarse, directa o indirectamente, mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social. Una persona física no se considerará identificable si dicha identificación requiere plazos o ac-tividades desproporcionados.

Además de que haya un dato personal, es necesario que esté registrado en un soporte físico que lo haga susceptible de tratamiento. Los soportes más habitu-ales son el informático y el papel. Respecto a que sea susceptible de tratamien-to, quiere decir que esté en un fichero. Un fichero es todo conjunto organizado de datos de carácter personal, cualquiera que fuera la forma o modalidad de su creación, almacenamiento, organización y acceso, responda tanto a una estruc-tura como a una finalidad común.

Los tratamientos de datos son operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elab-oración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias. Por tanto, casi todo lo que podamos imaginar que se puede hacer con un dato es un tratamiento.

Es importante volver a señalar que el tratamiento no es sólo informático, sino que también puede ser manual. Por tanto, los ficheros en formato papel deben cump-lir esta normativa, pero sólo aquellos que estén estructurados conforme a crite-rios específicos relativos a las personas y que permitan acceder fácilmente a los datos personales.

No será de aplicación esta normativa a los siguientes ficheros:

• Los mantenidos por personas físicas en el ejercicio de actividades exclusiva-mente personales o domésticas.

• Los sometidos a la normativa sobre protección de materias clasificadas.

• Los establecidos para la investigación del terrorismo y de formas graves de delincuencia organizada.

Se regirán por sus disposiciones específicas los siguientes ficheros:

• Los regulados por la legislación de régimen electoral.

• Los que sirvan a fines exclusivamente estadísticos, y estén amparados por la legislación estatal o autonómica sobre la función estadística pública.

• Los que tengan por objeto el almacenamiento de los datos contenidos en los

Ám

bit

o d

e ap

lica

ció

n

16

informes personales de calificación a que se refiere la legislación del Régimen del personal de las Fuerzas Armadas.

• Los derivados del Registro Civil y del Registro Central de penados y rebeldes.

• Los procedentes de imágenes y sonidos obtenidos mediante la utilización de vid-eocámaras por las Fuerzas y Cuerpos de Seguridad, de conformidad con la legis-lación sobre la materia.

• Los sometidos a la normativa sobre protección de materias clasificadas.

• Los establecidos para la investigación del terrorismo y de formas graves de delin-cuencia organizada.

La recogida y tratamiento para fines policiales de datos de carácter personal por las Fuerzas y Cuerpos de Seguridad sin consentimiento de las personas afectadas, están limitados a aquellos supuestos y categorías de datos que resulten necesarios para la prevención de un peligro real para la seguridad pública o para la represión de in-fracciones penales, debiendo ser almacenados en ficheros específicos establecidos al efecto.

Pasamos ahora a exponer algunos casos donde es y no es aplicable esta normativa:

• No se aplica esta Normativa a datos de personas fallecidas.

• Tampoco se aplica a ficheros personales de uso doméstico, respecto a las activi-dades que se inscriban en el marco de la vida privada o familiar de los particulares.

• No es aplicable a datos de personas jurídicas ni a los ficheros que se limiten a incorporar los datos de las personas físicas que presten sus servicios en aquellas, consistentes únicamente en su nombre y apellidos, las funciones o puestos desem-peñados, así como la dirección postal o electrónica, teléfono y número de fax pro-fesionales.

• Asimismo, los datos relativos a empresarios individuales, cuando hagan referencia a ellos en su calidad de comerciantes, industriales, o navieros, también se entend-erán excluidos del régimen de aplicación de la protección de datos de carácter personal.

• Caso más complejo es el de los correos electrónicos, que serán datos personales si identifican a su titular. Por ejemplo [email protected] difícilmente puede iden-tificar a alguien, pero [email protected] si nos permitirá identificar a su titular, por lo que sí será un dato personal.

Es evidente que los abogados, como cualquier otro profesional, tratan ficheros con datos de carácter personal. Ejemplo de ello son los ficheros de clientes, de procura-dores, de contrarios, de expedientes, del personal de su despacho, etcétera.

4.2. ÁMBITO TERRITORIALSe regirá por esta normativa todo tratamiento de datos personales siempre que se dé alguna de las siguientes circunstancias:

Ám

bito

de ap

licación

17

• Cuando sea efectuado en territorio español en el marco de las actividades de un establecimiento del responsable del tratamiento. Caso habitual del tratami-ento por parte de los abogados.

• Cuando al responsable del tratamiento no establecido en territorio español le sea de aplicación la legislación española en aplicación de normas de Derecho Internacional público.

• Cuando el responsable del tratamiento no esté establecido en territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territo-rio español, salvo que tales medios se utilicen únicamente con fines de tránsito.

SUJETOS

Los sujetos que de algún modo intervienen en la materia de protección de datos personales son el responsable del fichero, el afectado, el encargado

del tratamiento por cuenta de tercero y la Agencia de Protección de Datos.

Sujeto

s

19

Los sujetos que de algún modo intervienen en la materia de protección de datos personales son:

• El responsable del fichero.

• El afectado.

• El encargado del tratamiento por cuenta de tercero.

• La Agencia de Protección de Datos.

5.1. EL RESPONSABLE DEL FICHEROEl responsable del fichero dice la ley que es “la persona física o jurídica, de natu-raleza pública o privada, u órgano administrativo que decide sobre la finalidad, contenido y uso del tratamiento”. Es responsable del fichero aquél que decide so-bre la finalidad del fichero, es decir, para qué se van a utilizar los datos personales que contiene el fichero.

Si el ejercicio de la abogacía se realiza a través de una sociedad con personalidad jurídica, será ésta la responsable de los ficheros, pero si se realiza como un profe-sional autónomo, será el propio abogado el responsable del fichero.

Puede obtener la guía del responsable de ficheros en el apartado documentos de la siguiente dirección electrónica:

http://www.protecciondedatosenandalucia.es

5.2. EL AFECTADOEl afectado o interesado es la persona física titular de los datos que sean objeto del tratamiento. Es el titular de los datos, la persona a la que hacen referencia los mismos. Es el auténtico propietario de la información sobre la que versan los fich-eros.

Como hemos indicado anteriormente, los afectados serán fundamentalmente los clientes, contrarios y personal del despacho.

5.3. EL ENCARGADO DEL TRATAMIENTOEl encargado del tratamiento por cuenta de un tercero es la persona física o jurídi-ca, autoridad pública, servicio o cualquier otro organismo que, solo o conjunta-mente con otros, trate datos personales por cuenta del responsable del tratami-ento.

El hecho de que se realice un trabajo para un tercero, no convierte automática-mente en un encargado del tratamiento.

El responsable del tratamiento debe velar por que el encargado del tratamiento reúna las garantías necesarias que marca la normativa en protección de datos de

Suje

tos

20

carácter personal. El encargado del tratamiento está sujeto, junto con el responsable del fichero al régimen de sanciones previsto en la LOPD.

Por último, indicar que el encargado del tratamiento no subcontratará con un tercero la realización de ningún tratamiento que le hubiera encomendado el responsable del tratamiento, salvo que hubiera obtenido de éste autorización para ello, bien medi-ante autorización previa individual o estipulándolo en el contrato entre el responsa-ble y el encargado. En cualquier caso la contratación se hará en nombre y por cuenta del responsable del tratamiento.

Un ejemplo claro puede ser un abogado que es contratado por una empresa para llevar sus asuntos laborales, así el abogado tratará los datos personales de los empl-eados de dicha empresa para la prestación del servicio contratado, la asesoría laboral, por lo que el responsable del fichero será la empresa, los trabajadores de ésta los afectados, y el abogado un encargado del tratamiento, ya que no trata los datos para una finalidad suya sino de su cliente, la empresa.

Los abogados además de serlo, también pueden tener encargados del tratamiento de sus ficheros, como pueden ser una asesoría fiscal, informática, o de cualquier otro tipo que acceda a sus datos con el único objetivo de prestarle un servicio.

5.4. AGENCIA DE PROTECCIÓN DE DATOSVeremos en este punto un nuevo sujeto, la Agencia de Protección de Datos, aunque en realidad debemos decir las Agencias de Protección de Datos, pues hay una estatal y varias autonómicas.

5.4.1. Agencia Española de Protección de Datos

La AEPD, es un ente de Derecho Público con personalidad jurídica propia y plena capacidad pública y privada. Actúa con independencia de las Administraciones Públi-cas en el ejercicio de sus funciones.

Su principal función es velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación, en especial en lo relativo a los derechos de infor-mación, acceso, rectificación, oposición y cancelación de datos.

Al frente de esta Agencia está el Director de la misma. Forman también parte de la estructura de la AEPD un Consejo Consultivo, el Registro General de Protección de Datos, la Inspección de Datos y la Secretaría General de la Agencia.

La AEPD llevará a cabo actuaciones previas de oficio, bien por iniciativa propia o como consecuencia de la existencia de una denuncia o una petición razonada de otro órgano, las cuales tendrán una duración máxima de doce meses. Si se excediera de dicho límite temporal y no se dicta y notifica acuerdo de inicio de procedimiento sancionador producirá la caducidad de las actuaciones previas.

Estas actuaciones pueden llevar a la resolución de archivo, o al inicio del proced-imiento sancionador o de infracción de las administraciones públicas en el caso de ficheros de titularidad pública.

Sujeto

s

21

Iniciado el procedimiento sancionador, dispondrá de seis meses para dictar resolución, y si no fuera así, se producirá la caducidad del procedimiento y el ar-chivo de las actuaciones.

5.4.2. Agencias de Protección de Datos Autonómicas

Además de la Agencia Estatal todas las Comunidades Autónomas tienen la posi-bilidad de crear su propia Agencia de Protección de Datos, con un ámbito de ac-tuación territorial autonómico, y solamente respecto a los ficheros de titularidad de la Administración Autonómica, las Administraciones Locales de esa Comuni-dad y de todos los Organismos dependientes de ambas.

Comunidades Autónomas como Madrid, Cataluña y País Vasco ya tienen su propia Agencia.

5.4.3. Agencia de Protección de Datos de Andalucía

En Andalucía no hay aún Agencia de Protección de Datos. En el año 2003, impul-sada por la Asociación Andaluza de Comercio Electrónico, se elaboró la propos-ición de Ley 6-03/PPL-0 00008, de creación de la Agencia Andaluza de Protección de Datos, pero no salió adelante. No obstante, el Estatuto de Autonomía de Anda-lucía hace referencia a ésta en tres ocasiones, por lo que se espera que en breve sea creado este organismo.

5.4.4. Protección de Datos en Andalucía

El pasado 28 de enero de 2009, día europeo de la protección de datos, se inauguró el espacio virtual de Protección de Datos de Andalucía, con el objetivo principal impulsar el conocimiento de los derechos en materia de protección de datos y privacidad entre los ciudadanos de Andalucía.

Este espacio virtual está dirigido y gestionado por la Comisión de Protección de Datos en Andalucía de la Asociación Andaluza de Comercio Electrónico, y se puede acceder a él a través de la dirección de Internet:

http://www.protecciondedatosenandalucia.es.

OBLIGACIONES

Entre estas obligaciones se encuentran los principios generales de la protec-ción de datos, que son la calidad de datos, el derecho de información en la recogida de datos, el consentimiento del afectado, los datos especialmente protegidos, los datos relativos a la salud, la seguridad de los datos, el deber de secreto, la comunicación de datos, y el acceso a los datos por cuenta de

terceros.

Ob

ligacio

nes

23

A continuación vamos a explicar cuáles son las principales obligaciones del re-sponsable del fichero.

Entre estas obligaciones se encuentran los principios generales de la protección de datos, que son los principios básicos que han de ser respetados en toda fase del tratamiento de los datos, cuando resulten aplicables.

Estos principios son:

• Calidad de datos.

• Derecho de información en la recogida de datos.

• Consentimiento del afectado.

• Datos especialmente protegidos.

• Datos relativos a la salud.

• Seguridad de los datos.

• Deber de secreto.

• Comunicación de datos.

• Acceso a los datos por cuenta de terceros.

6.1 INSCRIPCIÓN DE FICHEROSSe puede crear un fichero que contengan datos personales, siempre que resulte necesario para el logro de la actividad u objeto legítimos de un abogado o em-presa, y se respeten las garantías que la normativa recoge.

En el caso de los ficheros de titularidad privada, es obligatorio proceder a la notifi-cación ante el Registro General de Protección de Datos, mediante la cumpliment-ación de un formulario oficial, el formulario NOTA. Igualmente hay que comunicar los cambios que se produzcan en la finalidad del fichero, en su responsable o en la dirección de su ubicación.

La realización de esta inscripción se puede llevar a efecto a través de los sigu-ientes formatos:

• Telemático.

• En soporte informático.

• En formato papel.

Lo que aquí se notifica no son los datos que contienen los ficheros, sino algunas características del mismo.

Este Registro General, inscribirá el fichero si la notificación se ajusta a los requisi-tos exigibles. En caso contrario podrá pedir que se completen los datos que falten o se proceda a su subsanación. Transcurrido un mes desde la presentación de la solicitud de inscripción sin que se hubiera resuelto sobre la misma, se entenderá inscrito el fichero automatizado a todos los efectos.

Ob

lig

acio

nes

24

Para los ficheros de titularidad pública, es necesario además que éste sea creado me-diante una disposición de carácter general, y que posteriormente se publique en el diario oficial correspondiente.

Por tanto, un abogado antes de iniciar su actividad y tratar datos personales, debe notificar e inscribir los correspondientes ficheros ante el Registro General de Protec-ción de Datos.

Puede obtener los formularios electrónicos NOTA para la notificación de ficheros, sus manuales y guía en el apartado documentos de la siguiente dirección electrónica:


6.2. CALIDAD DE LOS DATOSHay total libertad para crear un fichero, pero se deben cumplir algunos requisitos. Uno de ellos es el que se refiere a la calidad de los datos.

Así, los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no ex-cesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.

Dice la actual normativa que los datos “no podrán usarse para finalidades incompati-bles con aquellas para las que los datos hubieran sido recogidos”.

Los datos deberán ser exactos y puestos al día de forma que respondan con veraci-dad a la situación actual del afectado.

Algo más complejo es la obligación de que los datos deberán ser cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados. Una vez que haya desaparecido la finalidad para la que fueron tratados los datos, éstos han de eliminarse.

Al decir cancelarse, nos referimos a eliminarlos definitivamente, de cualquier man-era que nadie pueda acceder a ellos en el futuro. Solo en el caso de que estos datos puedan ser requeridos por un tercero legítimamente debemos mantenerlos aunque haya desaparecido su finalidad. No obstante, dentro de lo posible se guardarán blo-queados, es decir, no accesibles. En el caso concreto de datos personales registrados con fines policiales, se cancelarán cuando no sean necesarios para las averiguaciones que motivaron su almacenamiento.

En cuanto a la forma de recogida de datos, hemos de señalar que se prohíbe expresa-mente la recogida de datos por medios fraudulentos, desleales o ilícitos.

Para los abogados es complejo cumplir con este requisito de calidad, ya que en pro-tección de nuestros clientes solemos almacenar información indefinidamente. No ob-stante, se ha de cumplir este requisito de calidad como debe hacerlo cualquier otro profesional o empresa, ya sea mediante la eliminación real de la información cuando sea necesario, o al mediante la restricción de acceso a la misma, algo relativamente más sencillo de cumplir.

Ob

ligacio

nes

25

6.3. DERECHO DE INFORMACIÓN6.3.1. Regla general

Como regla general, a quienes se les soliciten datos personales deberán ser pre-viamente informados de modo expreso, preciso e inequívoco:

• De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.

• Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.

• De las consecuencias de la obtención de los datos o de la negativa a suminis-trarlos.

• De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.

• De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

Lo dicho hasta ahora en este punto no será de aplicación a la recogida de datos cuando ésta afecte a la Defensa Nacional, a la seguridad pública o a la persecución de infracciones penales.

A continuación incluimos un modelo de cláusula de información:

Los datos de carácter personal que nos facilite mediante este formulario que-darán registrados en un fichero de [indicar el responsable del fichero], con la finalidad de [indicar la finalidad del fichero]. Por ello puede ejercitar los derechos de acceso, rectificación, cancelación y oposición ante [indicar el responsable del fichero], [indicar la dirección del responsable del fichero].

6.3.2. Excepciones

No obstante, este deber no es absoluto, sino que tiene sus excepciones. Así, no será necesario cumplir con este deber de información cuando:

• Una Ley así lo prevea.

• Se trate de datos para fines históricos, estadísticos o científicos según marca su normativa.

• Resulte imposible o exija esfuerzos desproporcionados el llevarlo a cabo, siem-pre bajo criterio de la Agencia Española de Protección de Datos.

• Los datos procedan de fuentes accesibles al público y se destinen a la actividad de publicidad o prospección comercial.

En este último caso, en cada comunicación que se dirija al afectado se le informará del origen de los datos, de la identidad del responsable del tratamiento, así como de los derechos que le asisten.

Ob

lig

acio

nes

26

Igualmente, no será aplicable a la recogida de datos, cuando afecte a la Defensa Na-cional, a la seguridad pública o a la persecución de infracciones penales.

Siempre que un abogado tome los datos de un cliente debe informarle de lo dicho en este punto, y a ser posible quedando constancia de ello, para así evitar problemas de prueba en caso de necesidad. Por ello, el deber de información ha de llevarse a cabo a través de un medio que permita acreditar su cumplimiento, debiendo conservarse mientras persista el tratamiento de los datos del afectado, pudiéndose utilizar sopo-rtes informáticos o telemáticos para ello, como el escaneado de la documentación en soporte papel, siempre y cuando se garantice que en dicha automatización no ha mediado alteración alguna de los soportes originales.

Respecto a este deber de informar a los oponentes del cliente, es opinión de la AEPD, que a pesar de que el abogado se encontraría obligado a informar a los oponentes de su cliente de la existencia de un fichero o tratamiento, su responsable, su finalidad, la posibilidad que los afectados ejerciten los derechos que la Ley les atribuye y los destinatarios de los datos, debemos tener en cuenta la concurrencia del derecho del cliente a obtener la adecuada asistencia de letrado y, en definitiva, a ver satisfecha la tutela judicial efectiva, consagrada por el artículo 24 de la Constitución, y del oponen-te a la protección de sus datos de carácter personal, lo que supondrá el cumplimiento del citado deber de información.

Tal y como sostiene reiterada jurisprudencia del Tribunal Constitucional “el derecho a la intimidad no es absoluto, como no lo es ninguno de los derechos fundamen-tales, pudiendo ceder ante intereses constitucionalmente relevantes, siempre que el recorte que aquél haya de experimentar se revele como necesario para lograr el fin legítimo previsto, proporcionado para alcanzarlo y, en todo caso, sea respetuoso con el contenido esencial del derecho”.

Pues bien, aplicando la doctrina antedicha al supuesto concreto, y sin perjuicio de lo que, en su caso, manifestare en el futuro el Tribunal Constitucional, procederá pon-derar en qué caso la limitación del ejercicio de uno de los derechos en conflicto puede producir una mayor merma de los derechos de la otra parte o, en su caso, las medidas que permitirán mitigar ese potencial perjuicio.

Siguiendo esta premisa, debería darse una prevalencia al derecho consagrado por el artículo 24 de la Constitución, la tutela judicial efectiva, garantizando a su vez las medidas que evitarán un mayor perjuicio a los afectados, en este caso, los oponentes de los clientes cuyos datos son objeto de tratamiento.

Ello se funda en que la comunicación a los afectados de las informaciones de que los abogados o procuradores puedan disponer, procedentes de sus clientes, podrían perjudicar, el adecuado ejercicio por el propio interesado de las facultades vinculadas con su derecho a obtener la tutela efectiva de los Jueces y Tribunales, al quedar en conocimiento de la otra parte los datos que pudieran ser aportados a juicio en de-fensa de su derecho.

6.3.3. Fuentes accesibles al público

A los efectos de la LOPD, se consideran fuentes accesibles al público “aquellos fich-

Ob

ligacio

nes

27

eros cuya consulta puede ser realizada por cualquier persona, no impedida por una norma limitativa, o sin más exigencia que, en su caso, el abono de una con-traprestación.”

Tienen la consideración de fuentes de acceso público, exclusivamente, las sigu-ientes:

• El censo promocional.

• Los repertorios telefónicos en los términos previstos por su normativa especí-fica.

• Las listas de personas pertenecientes a grupos de profesionales, que contengan únicamente los datos de nombre, título, profesión, actividad, grado académi-co, indicación de su pertenencia al grupo, y dirección profesional, que podrá incluir los datos del domicilio postal completo, número telefónico, número de fax y dirección electrónica. En el caso de Colegios Profesionales, como es un colegio de abogados, podrá indicarse el número de colegiado, fecha de incor-poración y situación de ejercicio profesional.

• Los Diarios y Boletines oficiales.

• Los medios de comunicación social.

6.4. EL CONSENTIMIENTOToda la normativa de protección de datos gira en torno al consentimiento. Casi todo puede hacerse con los datos personales de alguien siempre que se cuente con su consentimiento. Pero a su vez podemos decir que siempre que se vaya a realizar un tratamiento de datos es necesario que previamente todos los titulares de los mismos hayan prestado su consentimiento para ello.

6.4.1. Regla general

Como norma general, el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa.

Por consentimiento debemos entender toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen.

En la solicitud del consentimiento en el marco de una relación contractual para fines no relacionados directamente con la misma, el responsable del tratamiento deberá permitir al afectado que manifieste su negativa al tratamiento de datos.

6.4.2. Excepciones

Las excepciones a la regla general de necesidad de consentimiento son las sigu-ientes:

• Cuando así lo autorice una norma con rango de Ley o una norma de derecho comunitario.

Ob

lig

acio

nes

28

• Éste no será necesario para los ficheros con datos personales cuya finalidad sean las funciones propias de las Administraciones Públicas en el ámbito de sus com-petencias que les atribuya una norma con rango de ley o una norma de derecho comunitario.

• Tampoco será necesario entre las partes de un contrato o precontrato de una rel-ación negocial, laboral o administrativa cuando sean necesarios para su manten-imiento o cumplimiento.

• Cuando se trate de proteger un interés vital del interesado.

• Por último, cuando los datos provengan de las denominadas fuentes accesibles al público.

En estos casos en los que no es necesario el consentimiento del afectado para el tratamiento de sus datos, y siempre que una Ley no disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal.

Es momento de analizar si los abogados habrán de recabar el consentimiento de sus clientes y de la contraparte de los mismos en procesos en que aquéllos les confieran su representación o defensa.

Es opinión de la AEPD, que la inclusión de los datos de los clientes y sus oponentes en un fichero supondrá un tratamiento de datos de carácter personal, que requeriría, en principio, el consentimiento del afectado.

En lo referente al tratamiento de los datos de los clientes, podrá efectuarse el mismo sin consentimiento del afectado, a tenor de lo establecido en la LOPD, que excluye del consentimiento los supuestos en que los datos “se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento”.

Sin embargo, el problema se plantea en el supuesto de que los datos se refieran a los oponentes de los clientes del abogado o procurador, dado que en ese caso el tratami-ento resulta absolutamente imprescindible para la asistencia letrada al cliente, si bien ese tratamiento pudiera chocar con el derecho a la protección de datos de la persona cuyos datos son objeto de tratamiento.

En este caso surgiría una colisión entre dos derechos fundamentales: el derecho a la protección de datos de carácter personal, derivado del artículo 18 de la Constitución y consagrado como derecho autónomo e informador del texto constitucional por la Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre, por un lado; y el derecho a la asistencia letrada, como manifestación del derecho de los ciudadanos a obtener la tutela judicial efectiva de los jueces y tribunales, contenido en el artículo 24.2 de la Constitución.

Para resolver esta cuestión, debe indicarse que, en primer lugar, que la propia LOPD permite establecer los límites para la exigencia del consentimiento, dado que su artículo 6.1 exige, como regla general, el consentimiento para el tratamiento de los datos “salvo que la Ley disponga otra cosa”.

Ob

ligacio

nes

29

A la vista de este precepto, el legislador ha creado un sistema en que el derecho a la protección de datos de carácter personal cede en aquellos supuestos en que el propio legislador haya considerado la existencia de motivos razonados y fun-dados que justifiquen la necesidad del tratamiento de los datos, incorporando dichos supuestos a normas de, al menos, el mismo rango que la que regula la materia protegida.

En este caso, el tratamiento por los abogados de los datos referidos a la contra-parte de sus clientes en los litigios en que aquéllos ejerzan la postulación procesal trae su causa, directamente, del derecho de todos los ciudadanos a la asistencia letrada, consagrado por el artículo 24.2 del Texto Constitucional.

En efecto, la exigibilidad del consentimiento del oponente para el tratamiento de sus datos por el abogado o procurador supondría dejar a disposición de aquél el almacenamiento de la información necesaria para que el cliente pueda ejercer, en plenitud, su derecho a la tutela judicial efectiva. Así, la falta de estos datos puede implicar, lógicamente, una merma en la posibilidad de aportación por el inter-esado de los medios de prueba pertinentes para su defensa, vulnerándose otra de las garantías derivadas del citado derecho a la tutela efectiva y coartándose la posibilidad de obtener el pleno desenvolvimiento de este derecho.

Por todo ello, si bien ninguna disposición con rango de Ley establece expresa-mente la posibilidad del tratamiento por abogados de los datos referidos al opo-nente de su cliente en el seno de un determinado proceso judicial, es evidente que dicha posibilidad trae causa directa de una norma de rango constitucional, reguladora además de uno de los derechos fundamentales y libertades públicas consagrados por la Constitución, y desarrollado por las leyes reguladoras de cada uno de los Órdenes Jurisdiccionales, en los preceptos referidos a la representación y defensa de las partes, por lo que existirá, desde el punto de vista de la AEPD, una habilitación legal para el tratamiento de los datos, que trae su cobertura del pro-pio artículo 24 de la Constitución y sus normas de desarrollo.

6.4.3. Tipos de consentimiento

En la LOPD se exigen tres tipos de consentimiento según el tipo de datos person-ales de que se trate. Para el tratamiento de cualquier dato personal de un titular hace falta su consentimiento tácito, es decir que se entienda por sus acciones u omisiones que se presta, sin que deba quedar constancia de ello. Aunque es muy importante dejar constancia de que el titular ha prestado su consentimien-to, ya que si por cualquier motivo éste manifestara que nunca lo prestó, será el responsable del fichero quien tenga que demostrar que efectivamente se contó con el consentimiento del titular para tratar sus datos personales, puesto que cor-responderá al responsable del tratamiento la prueba de la existencia del consen-timiento del afectado por cualquier medio de prueba admisible en derecho.

Este tipo de consentimiento puede recabarse dirigiéndose al afectado, y con-cediéndole un plazo de treinta días hábiles para manifestar su negativa al tratami-ento mediante un método sencillo y gratuito, advirtiéndole de que en caso de no pronunciarse a tal efecto se entenderá que consiente el tratamiento de sus datos

Ob

lig

acio

nes

30

de carácter personal.

El segundo tipo de consentimiento es el expreso, es decir que no basta con que a través de sus actos se intuya que se presta el mismo, sino que tiene que declarar ex-presamente que se da ese consentimiento. Este tipo es necesario para datos relacio-nados con la salud, el origen racial y la vida sexual. Cabe decir aquí lo mismo respecto a la necesidad de disponer de alguna prueba respecto a la existencia del mismo.

El consentimiento expreso y por escrito es el tercer y último tipo. Se requiere para tratar datos de ideología, religión, creencias y afiliación sindical.

Se exceptúan de la necesidad de este consentimiento los ficheros mantenidos por los partidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas y asocia-ciones, fundaciones y otras entidades sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, en cuanto a los datos relativos a sus asociados o miem-bros, sin perjuicio de que la cesión de dichos datos precisará siempre el previo con-sentimiento del afectado.

A continuación incluimos un modelo de cláusula de consentimiento expreso por es-crito:

Mediante la firma del presente documento presta su consentimiento para que los datos de carácter personal facilitados mediante este formulario queden registrados en un fichero de [indicar el responsable del fichero], con la finalidad de [indicar la finalidad del fichero]. Por ello puede ejercitar los derechos de acceso, rectificación, cancelación y oposición ante [indicar el responsable del fichero], [indicar la direc-ción del responsable del fichero].

A continuación incluimos un modelo de cláusula para el consentimiento de un seg-undo tratamiento:

Igualmente le informamos que si no nos indica lo contrario, sus datos personales serán incorporados a otro fichero de este mismo responsable, con la finalidad de [in-dicar la finalidad del segundo fichero]. ( ) No deseo [indicar la finalidad del segundo fichero].

6.4.4. Datos especialmente protegidos

Están prohibidos los ficheros cuya única finalidad sea la de almacenar datos person-ales especialmente protegidos. Éstos son aquellos que revelen la ideología, afiliación sindical, religión, creencias, origen racial o étnico, o vida sexual.

La recogida y tratamiento por las Fuerzas y Cuerpos de Seguridad de datos espe-cialmente protegidos podrán realizarse en los supuestos en que sea absolutamente necesario para los fines de una investigación concreta.

Por último, se ha de indicar que los datos de carácter personal relativos a la comisión de infracciones penales o administrativas sólo podrán ser incluidos en ficheros de las Administraciones Públicas competentes en los supuestos previstos en las respectivas normas reguladoras.

6.4.5. Datos de salud

Ob

ligacio

nes

31

Entre estos datos especialmente protegidos, debemos destacar por su relevancia los datos de salud, el RDLOPD define dato de carácter personal relacionado con la salud como “las informaciones concernientes a la salud pasada, presente y futura, física o mental, de un individuo. En particular, se consideran datos relacionados con la salud de las personas los referidos a su porcentaje de discapacidad y a su información genética.”

6.4.6. Datos de los trabajadores

Los datos personales de los trabajadores, deben ser adecuados, pertinentes y no excesivos para las finalidades para las cuales fueron recabados.

La conservación de estos datos debe ir aparejada a la vigencia del contrato que los origina.

Puede obtener la guía de la protección de datos en las relaciones laborales en el apartado documentos de la siguiente dirección electrónica:


6.4.7. Videovigilancia

La videovigilancia está en auge, cada vez son más las cámaras que nos observan y nos vigilan. Las podemos ver en las empresas, en los comercios y bancos a los que acudimos, en nuestros lugares de ocio, e incluso en algunos despachos de aboga-dos. Están en casi todos los sitios a los que acudimos y desarrollamos nuestra vida profesional o privada.

Este aumento de instalación de dispositivos de videovigilancia se debe a los avances técnicos en este campo, que han llevado al consiguiente abaratamiento de los mismos. Está claro que estos sistemas son eficaces para la seguridad, pero también pueden ser usados con otros fines, por ello la pregunta que debemos hacernos es la siguiente, ¿son legales estas actuaciones de videovigilancia a las que nos vemos sometidos?

La respuesta, aunque con muchos matices, es sí. La AEPD ha publicado una In-strucción que aclara las dudas que han generado la proliferación de sistemas de cámaras y videocámaras, y cuya intención es adecuar los tratamientos de imá-genes con fines de vigilancia a los principios de la LOPD, y garantizar los derechos de las personas cuyas imágenes son tratadas por estos sistemas, ya que una im-agen es un dato de carácter personal, y por tanto amparado por la protección de este derecho fundamental.

Así, sólo se es admisible la instalación de estas cámaras cuando la finalidad de vid-eovigilancia no pueda obtenerse mediante otros medios que, sin exigir esfuerzos desproporcionados resulten menos intrusivos para la intimidad de las personas y para su derecho a la protección de datos de carácter personal. Pero, ¿cuándo es una medida proporcionada el uso de un sistema de cámaras con fines de vigilan-cia? Se considera proporcionada cuando este uso sea susceptible de conseguir el objetivo presupuesto; además tiene que ser necesario, en el sentido que no exista otra medida más moderada para la consecución de tal propósito con igual eficacia; y por último, ha de ser ponderada o equilibrada, por derivarse de ella

Ob

lig

acio

nes

32

más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto.

Debemos señalar también que se debe colocar en las zonas videovigiladas, al menos un distintivo informativo ubicado en un lugar suficientemente visible, y tener a dis-posición de los interesados impresos donde se detalle la información necesaria sobre ese tratamiento de datos.

Puede obtener la guía de videovigilancia en el apartado documentos de la siguiente dirección electrónica:


6.5. CESIÓN DE DATOSExiste la obligación general por parte del responsable del fichero de no ceder los datos personales incorporados en sus ficheros. Éstos solo podrán ser cedidos a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado. Debemos entender por cesión de datos todo tratamiento de datos que supone su revelación a una persona distinta del interesado.

Cuando se obtiene el consentimiento del titular, por parte del responsable del fichero para tratar sus datos personales, sólo el responsable puede tratarlos.

6.5.1. Regla general

Como regla general, para poder ceder cualquier dato es necesario contar antes con el consentimiento del afectado, lo que implica tener que informarle previamente de ello.

Sin embargo, sí es válido informar y pedir el consentimiento para poder ceder los datos a cualquier tercero.

También es posible recabar el consentimiento con posterioridad a cuando se recabar-on en un primer momento. Bastaría con que el responsable informara y pidiera el consentimiento.

Todo esto hace muy difícil, por no decir imposible, muchos tratamientos que son vi-tales para cualquier abogado o empresa.

A continuación incluimos un modelo de cláusula para el consentimiento de un seg-undo tratamiento:

Le informamos que si no nos indica lo contrario, sus datos personales serán cedidos a [indicar el cesionario del fichero] con la finalidad de [indicar la finalidad de tratami-ento por parte del cesionario], que desarrolla la actividad [indicar la actividad del cesionario]. ( ) No consiento la cesión de mis datos.

6.5.2. Excepciones

Por ello, para evitar esta imposibilidad de cumplimiento, pasamos a ver las excep-ciones a la regla general de la necesidad del consentimiento del titular de los datos

Ob

ligacio

nes

33

para poder ceder los mismos:

• Si una norma con rango de ley o una norma de derecho comunitario autoriza la cesión.

• Cuando los datos sean obtenidos de fuentes accesibles al público.

• Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comu-nicación sólo será legítima en cuanto se limite a la finalidad que la justifique.

• Cuando la comunicación tenga por destinatario al Defensor del Pueblo, el Min-isterio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco será preciso cuando la comu-nicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas.

• Cuando se produzca entre Administraciones Públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científi-cos, o cuando los datos hayan sido recogidos o elaborados por una Adminis-tración Pública con destino a otra, o cuando la comunicación se realice para el ejercicio de competencias idénticas o que versen sobre las mismas materias.

• Cuando la cesión de datos sobre salud sea necesaria para solucionar una ur-gencia que requiera acceder a un fichero o para realizar los estudios epidemi-ológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica.

• Por último, respecto de la cesión, las instituciones y los centros sanitarios pú-blicos y privados y los profesionales correspondientes podrán proceder al tratamiento de los datos de carácter personal relativos a la salud de las perso-nas que a ellos acudan o hayan de ser tratados en los mismos, de acuerdo con lo dispuesto en la legislación estatal o autonómica sobre sanidad.

Es importante para los abogados tener en cuenta que cada profesional autónomo es responsable de sus ficheros, y que cualquier acceso por un tercero a los datos de los mismos, aunque sea este otro abogado, puede ser considerado una cesión de datos, salvo que se trate de un tratamiento por cuenta de terceros, que expli-camos a continuación.

Aun con estas excepciones, hay muchos tratamientos de datos que siguen siendo imposibles para el responsable del fichero. Por ello, con el fin de adaptar la norma a las necesidades de la actividad profesional y empresarial, la LOPD creó una figura que no existía en la normativa en protección de datos personales que le precedió, la LORTAD, surgiendo así el tratamiento por cuenta de terceros.

6.5.3. Deber de información en la cesión

El responsable del fichero, en el momento en que se efectúe la primera cesión de datos, deberá informar de ello a los afectados, indicando, asimismo, la finalidad del fichero, la naturaleza de los datos que han sido cedidos y el nombre y direc-

Ob

lig

acio

nes

34

ción del cesionario, salvo en los casos siguientes:

• Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la con-exión de dicho tratamiento con ficheros de terceros.

• Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas.

• Cuando la cesión se produzca entre Administraciones Públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos.

• Si la comunicación se efectúa previo procedimiento de disociación, no será aplica-ble lo establecido en los apartados anteriores.

• Cuando la cesión venga impuesta por Ley.

6.5.4. Tratamiento por cuenta de tercero

El tratamiento por cuenta de terceros es una novedad de la LOPD. Es una excepción genérica a la exigencia de consentimiento para poder realizar una cesión de datos. Así no se considerará cesión de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento

Se exige que para la efectiva realización de un tratamiento por cuenta de terceros, que no sea considerada una cesión ilegal de datos en su caso, dicho tratamiento de-berá estar regulado en un contrato por escrito o en alguna otra forma que permita acreditar su celebración y contenido donde han de cumplirse los siguientes requisi-tos:

• Debe establecerse expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento.

• Que el encargado del tratamiento no aplicará o utilizará los datos con un fin dis-tinto al que figure en el citado contrato, ni los comunicará, ni siquiera para su con-servación, a otras personas.

• En el contrato habrán de estipularse las medidas de seguridad que el encargado del tratamiento estará obligado a implementar.

• Debe de incluirse en el contrato el compromiso de que, una vez cumplida la prestación contractual, los datos personales deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento. No obstante, el encargado de tratamiento conservará, debidamente bloqueados, los datos en tanto pudieran derivarse responsabilidades de su relación con el responsable del tratamiento.

Además, el responsable deberá velar por que el encargado reúna las garantías nec-esarias para el cumplimiento del servicio encomendado.

Si el tratamiento es realizado por el encargado en los locales del responsable habrá de dejarse constancia en el documento de seguridad obligatorio del responsable,

Ob

ligacio

nes

35

comprometiéndose el personal del encargado a cumplir las normas de seguridad en él descritas, y si el tratamiento lo realiza el encargado es sus propios locales deberá elaborar su propio documento de seguridad.

A continuación incluimos un modelo de contrato de tratamiento por cuenta de tercero:

De acuerdo con el artículo 12 de la Ley Orgánica de Protección de Datos de carácter personal, no será considerado comunicación de datos el acceso por [indicar el encargado del tratamiento] a los datos de carácter personal del fich-ero [indicar el nombre del fichero] cuyo responsable es [indicar el responsable del fichero], ya que dicho acceso, y el correspondiente tratamiento, es necesario para realizar la prestación del servicio contratado.Por ello [indicar el encargado del tratamiento] será considerado como «encar-gado del tratamiento» de estos datos, y de acuerdo con ello, se establece expre-samente que únicamente tratará los datos conforme a las instrucciones de [in-dicar el responsable del fichero], expresadas en el presente Contrato, que no los aplicará o utilizará con fin distinto al que figura en lo pactado entre las Partes, sin que el acceso a dichos datos tenga por objeto el establecimiento de un nuevo vínculo entre [indicar el encargado del tratamiento] y el afectado. [indicar el encargado del tratamiento] no comunicará, ni siquiera para su conser-vación, a otras personas, salvo indicación expresa previa de [indicar el responsa-ble del fichero] de que comunique los datos a un tercero designado por aquél, al que hubiera encomendado la prestación de un servicio.[indicar el encargado del tratamiento] no podrá subcontratar con un tercero la realización de ningún tratamiento que le hubiera encomendado [indicar el re-sponsable del fichero], salvo que obtenga de éste autorización para ello. En este caso, la contratación se efectuará siempre en nombre y por cuenta de [indicar el responsable del fichero]. No obstante, será posible la subcontratación sin necesi-dad de autorización siempre y cuando se cumplan los requisitos del artículo 21 del Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.[indicar el encargado del tratamiento] se compromete a adoptar e implantar las medidas técnicas y organizativas de seguridad a que se refiere el artículo 9 de la Ley Orgánica de Protección de Datos de carácter personal, y, en particular, las correspondientes al nivel [básico/medio/alto] establecidas en el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, para los datos y ficheros objeto de este documento.Una vez cumplida la prestación de servicios pactada, y cuando ya no sean nec-esarios para continuar con el encargo realizado, los datos de carácter personal serán destruidos o devueltos por [indicar el encargado del tratamiento] a [in-dicar el responsable del fichero] o al encargado que éste hubiese designado, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.

Ob

lig

acio

nes

36

No obstante, no procederá la destrucción de los datos cuando exista una pre-visión legal que exija su conservación, en cuyo caso deberá procederse a la dev-olución de los mismos, garantizando [indicar el responsable del fichero] dicha conservación. [indicar el encargado del tratamiento] conservará, debidamente bloqueados, los datos en tanto pudieran derivarse responsabilidades de su rel-ación con [indicar el responsable del fichero].

6.6. MEDIDAS DE SEGURIDAD6.6.1. El documento de seguridad

La obligación más conocida es la de adoptar las medidas de índole técnica y organi-zativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural. Esto se traduce fundamentalmente en tener un documento de seguridad en protección de datos personales. Este documento es una “política de seguridad” que contiene es-tas medidas técnicas y organizativas cuyo fin es garantizar la integridad y seguridad de los datos personales tratados. En el caso de que los datos sean tratados por un tercero, éste tiene igualmente la obligación de disponer de su propio documento de seguridad, si es que el tratamiento se produce fuera de los locales del responsable del fichero.

Este documento de seguridad debe seguir las normas establecidas en el RDLOPD, en su Título VIII, de las medidas de seguridad en el tratamiento de datos de carácter personal. El documento de seguridad podrá ser único y comprensivo de todos los ficheros y tratamientos o bien individualizado para cada uno de ellos.

Adentrémonos brevemente en el contenido de este documento de seguridad. Lo primero que debemos saber es que los ficheros se clasifican en tres niveles. Cada uno de ellos requiere unas determinadas medidas de seguridad.

Todos los ficheros que contengan datos de carácter personal deberán adoptar las medidas de seguridad calificadas como de nivel básico, que veremos más adelante.

Los ficheros que contengan datos relativos a la comisión de infracciones administra-tivas o penales, como son muchos de los que disponen los abogados, aquellos de los que sean responsables Administraciones tributarias y se relacionen con el ejer-cicio de sus potestades tributarias, aquellos de los que sean responsables entidades financieras para finalidades relacionadas con la prestación de servicios financieros, y aquellos de los que sean responsables Entidades Gestoras y Servicios Comunes de la Seguridad Social y se relacionen con el ejercicio de sus competencias, deberán reunir, además de las medidas de nivel básico, las calificadas como de nivel medio. Cuando los ficheros contengan un conjunto de datos de carácter personal suficientes que permitan obtener una evaluación de la personalidad del individuo deberán garanti-zar algunas de las medidas de nivel medio.

Ob

ligacio

nes

37

Los ficheros más sensibles, los que contengan datos de ideología, religión, creen-cias, origen racial, salud o vida sexual, así como los que contengan datos recaba-dos para fines policiales sin consentimiento de las personas afectadas, o aquellos que contengan datos derivados de actos de violencia de género deberán reunir, además de las medidas de nivel básico y medio, las calificadas como de nivel alto.

En el caso de ficheros o tratamiento de datos de ideología, afiliación sindical, re-ligión, creencias, origen racial, salud o vida sexual bastará la implantación de mas medidas de seguridad de nivel básico cuando los datos se utilicen con la única fi-nalidad de realizar una transferencia dineraria a las entidades de las que los afecta-dos sean asociados o miembros, y cuando se trate de ficheros o tratamientos no automatizados en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad. También se podrán aplicar las medidas de nivel básico cuando contengan datos relativos a la salud, referentes exclusi-vamente al grado de discapacidad o la simple consideración de la condición de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes públicos.

6.6.2. Medidas de seguridad

Veamos esquemáticamente en qué consisten estas medidas.

Nivel Básico:

• Ámbito de aplicación con especificación detallada de los recursos protegidos.

• Medidas, normas, procedimientos de actuación, reglas y estándares encami-nados a garantizar el nivel de seguridad.

• Control de acceso y relación actualizada de usuarios.

• Identificación y autenticación de los usuarios.

• Funciones y obligaciones del personal en relación con el tratamiento de los ficheros.

• Estructura de los ficheros y descripción de los sistemas de información que lo tratan.

• Procedimientos de notificación, gestión y respuestas ante las incidencias.

• Procedimientos de copias de respaldo y recuperación de datos en los ficheros automatizados.

• Gestión de soportes y documentos.

• Las medidas a adoptar en el transporte, reutilización y destrucción de soportes y documentos.

Nivel Medio:

• La identificación de uno o varios responsables de seguridad.

• Los controles periódicos que se deben realizar para verificar el cumplimiento de lo dispuesto en el propio documento.

Ob

lig

acio

nes

38

• Auditoría interna o externa bienal de las medidas de seguridad.

• Una gestión de soportes y documentos más detallada que la del nivel anterior.

• Control de acceso físico a los lugares donde estén los equipos físicos que den soporte a los sistemas de información.

• Un registro de incidencias más detallado que el de nivel anterior.

Nivel Alto:

• Una gestión y distribución de soportes más detallada que la del nivel anterior.

• Proceder al cifrado en la distribución de soportes, en la transmisión de datos por redes públicas o inalámbricas, y en el uso de portátiles.

• Establecer un sistema que permita la trazabilidad de accesos.

• Tener el backup en lugar distinto al del sistema de información.

• Cifrar los datos en las telecomunicaciones.

Puede obtener la guía de seguridad de la AEPD con las distintas medidas de segu-ridad y un modelo de documento de seguridad en el apartado documentos de la siguiente dirección electrónica:


6.6.3. Plazos de implantación

La implantación de las medidas de seguridad deberá producirse con arreglo a las siguientes reglas:

Respecto de los ficheros automatizados que existieran el 19 de abril de 2008:

• Antes del día 19 de abril de 2009, deberán tenerse implantadas las medidas de seguridad de nivel medio exigibles a los siguientes ficheros:

1. Aquéllos de los que sean responsables las Entidades Gestoras y Servicios Comunes de la Seguridad Social y se relacionen con el ejercicio de sus competencias.

2. Aquéllos de los que sean responsables las mutuas de accidentes de trabajo y en-fermedades profesionales de la Seguridad Social.

3. Aquéllos que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportami-ento de los mismos, respecto de las medidas de este nivel que no fueran exigibles conforme a lo previsto en el artículo 4.4 del anterior Reglamento de Medidas de seguridad.

• Antes del día 19 de abril de 2009 deberán tenerse implantadas las medidas de seguridad de nivel medio y antes del 19 de octubre de 2009, las de nivel alto exi-gibles a los siguientes ficheros:

1. Aquéllos que contengan datos derivados de actos de violencia de género.

2. Aquéllos de los que sean responsables los operadores que presten servicios de

Ob

ligacio

nes

39

comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones electrónicas respecto a los datos de tráfico y a los datos de local-ización.

• En los demás supuestos, cuando se exija la implantación de una medida adicional, no prevista en el anterior Reglamento de Medidas de seguridad, dicha medida deberá implantarse antes del 19 de abril de 2009.

Respecto de los ficheros no automatizados que existieran el 19 de abril de 2008:

• Las medidas de seguridad de nivel básico deberán implantarse antes del día 19 de abril de 2009.

• Las medidas de seguridad de nivel medio deberán implantarse antes del día 19 de octubre de 2009.

• Las medidas de seguridad de nivel alto deberán implantarse antes del día 19 de abril de 2010.

Los ficheros, tanto automatizados como no automatizados, creados con posteriori-dad al día 19 de abril de 2008 deberán tener implantadas, desde el momento de su creación la totalidad de las medidas de seguridad reguladas en el mismo.

Por último, hay que señalar respecto a este documento, que no basta con que un abogado o empresa lo tenga para cumplir la normativa, sino que lo realmente im-portante es tener efectivamente implantadas las medidas que éste contiene. No ob-stante, queda prohibido registrar datos personales en ficheros que no reúnan las con-diciones determinadas con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.

6.7. DEBER DE SECRETOPoco que explicar a los abogados sobre el deber de secreto que ya no sepan, no ob-stante insistiremos en que existe la obligación del secreto profesional respecto de los datos tratados. Es una obligación que corresponde al responsable del fichero y a cuantos intervengan en cualquier fase del tratamiento de los datos. Ésta perdurará incluso finalizada la relación que permitía el acceso al fichero. Por ello, todas las em-presas o abogados deben informar a todos sus trabajadores de este deber.

A continuación incluimos un modelo de cláusula de deber de secreto:

En cumplimiento del artículo 10 de la Ley Orgánica de Protección de Datos de Carácter Personal, de 13 de diciembre de 1999, el trabajador se obliga a guardar estricto secreto acerca de aquellos datos personales almacenados en los ficheros de [indicar el responsable del fichero]. Este compromiso de secreto se extend-erá incluso finalizada la relación laboral. El incumplimiento del deber de secreto dará lugar a las acciones disciplinarias que procedan según la regulación laboral, así como a las acciones civiles o penales previstas en las leyes.

Ob

lig

acio

nes

40

6.8. TRANSFERENCIAS INTERNACIONALESExiste la obligación de no realizar transferencias temporales ni definitivas de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento con destino a países que no proporcionen un nivel de protección equiparable a la LOPD, salvo que, se obtenga autorización previa del Director de la AEPD, que sólo podrá otorgarla si se obtienen garantías adecuadas.

Por transferencia internacional de datos hemos de entender el tratamiento de datos que supone una transmisión de los mismos fuera del territorio del Espacio Económico Europeo, bien constituya una cesión o comunicación de datos, bien tenga por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero esta-blecido en territorio español.

Para llevar a cabo una transferencia internacional de datos se requiere previamente una autorización especial de la AEPD, por lo que hay que notificarlo oficialmente a la misma.

Ésta es la norma general, que como siempre tiene sus excepciones, las cuales vemos a continuación:

• Cuando resulte de la aplicación de tratados o convenios en los que sea parte Es-paña.

• Cuando se haga a efectos de prestar o solicitar auxilio judicial internacional.

• Cuando sea necesaria para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamiento médicos o la gestión de servicios sanitarios.

• Cuando se refiera a transferencias dinerarias conforme a su legislación específica.

• Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista.

• Cuando sea necesaria para la ejecución de un contrato entre el afectado y el re-sponsable del fichero o para la adopción de medidas precontractuales adoptadas a petición del afectado.

• Cuando sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar, en interés del afectado, por el responsable del fichero y un tercero.

• Cuando sea necesaria o legalmente exigida para la salvaguarda de un interés pú-blico. Tendrá esta consideración las solicitadas por una Administración fiscal o ad-uanera para el cumplimiento de sus competencias.

• Cuando sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.

• Cuando se efectúe, a petición de persona con interés legítimo, desde un Registro Público y aquélla sea acorde con la finalidad del mismo.

• Cuando tenga como destino un Estado miembro de la Unión Europea, o un Estado respecto del cual la Comisión de las Comunidades Europeas, en el ejercicio de sus

Ob

ligacio

nes

41

competencias, haya declarado que garantiza un nivel de protección adecuado.

RESPONSABILIDADES

La principal responsabilidad del responsable del fichero, ya sea abogado au-tónomo o sociedad, es que, junto con el encargado del tratamiento, son los únicos sujetos al régimen de sanciones que regula la LOPD. Otra responsa-

bilidad importante es que ante él se ejercitan los derechos de los afectados.

43

Resp

on

sabilid

ades

La principal responsabilidad del responsable del fichero, ya sea abogado autónomo o sociedad, es que, junto con el encargado del tratamiento, son los únicos sujetos al régimen de sanciones que regula la LOPD.

Otra responsabilidad importante es que ante él se ejercitan los derechos de los afecta-dos.

7.1. DERECHOS DE LOS AFECTADOSUna vez vistas las obligaciones del responsable del fichero, y en su caso del responsa-ble del tratamiento, situémonos ahora al otro lado de la barrera. Vamos a describir los principales derechos de los afectados. Recordemos primero que el afectado es la per-sona física a la que hacen referencia los datos. Él es el único titular con capacidad para prestar consentimiento al tratamiento de sus datos, y por tanto la LOPD le reconoce una serie de derechos mediante los cuales pueden hacer valer ante el responsable del fichero, su condición de auténtico propietario de la información sobre el recogida en los ficheros.

Los más importantes de todos estos derechos del afectado son los de acceso, recti-ficación, cancelación y oposición al tratamiento de sus datos personales. Estos dere-chos son independientes, de tal forma que no puede entenderse que el ejercicio de ninguno de ellos sea requisito previo para el ejercicio de otro.

Todos estos derechos son personalísimos. Por lo que su ejercicio se limita al afectado. No obstante, también podrá ejercitarse por el representante legal, acreditando dicha condición, cuando el afectado se encuentre en situación de incapacidad o minoría de edad que le imposibilite el ejercicio personal de estos derechos. También podrán ejer-citarse a través de representante voluntario, expresamente designado para el ejerci-cio del derecho.

El medio para ejercitar los mismos debe dejar constancia de que la persona que lo re-aliza es realmente el afectado, ya que, si fuera otra distinta y se le proporcionaran los datos del afectado, nos encontraríamos ante una cesión ilegal de datos. Con el objeto de poder acreditar el ejercicio del derecho se recomienda dejar constancia tanto del envío de la solicitud de ejercicio del derecho y de su remitente, como de la recepción de la misma por parte del responsable del fichero.

Además, el ejercicio de estos derechos deberá ser gratuito, y el procedimiento a seg-uir para ello sencillo. La comunicación dirigida al responsable del fichero para ejercer estos derechos deberá contener el nombre y apellidos del interesado, fotocopia de su DNI o equivalente, o en su caso firma electrónica identificativa del afectado.

El responsable del tratamiento deberá contestar siempre las solicitudes que le dirijan, independientemente de que figuren datos del afectado en sus ficheros, y le corre-sponderá la prueba de este deber.

Puede obtener modelos de ejercicio de estos derechos, facilitados por la AEPD, en el apartado documentos de la siguiente dirección electrónica:


44

Res

po

nsa

bil

idad

es

Pasemos a ver el primero de estos derechos.

7.1.1. El derecho de acceso

El derecho de acceso es el derecho del titular de los datos a solicitar y obtener gra-tuitamente información de sus datos de carácter personal sometidos a tratami-ento, el origen de dichos datos así como las comunicaciones realizadas o que se prevén hacer de los mismos.

El responsable del fichero resolverá la solicitud de acceso en el plazo máximo de un mes a contar desde la recepción de la solicitud. Si la solicitud fuera estimada, y el responsable no acompañase la información a su comunicación, el acceso se hará efectivo durante los diez días hábiles siguientes. Si la petición del afectado no es atendida adecuadamente, podrá dirigirse a la AEPD para que ésta se dirija al responsable del fichero con el objetivo de hacer efectivo el ejercicio de ese dere-cho.

Este derecho no puede ser ejercitado en intervalos inferiores a 12 meses, salvo que se acredite un interés legítimo para ello.

La información a la que se accederá comprenderá los datos de base del afectado y los resultantes de cualquier elaboración o proceso informático, así como el origen de los datos, los cesionarios de los mismos y la especificación de los concretos usos y finalidades para los que se almacenaron los datos.

Respecto a los ficheros de las fuerzas y cuerpos de seguridad del Estado, cuando la finalidad no sea simplemente administrativa, se podrá denegar el acceso, la rectificación o cancelación en función de los peligros que pudieran derivarse para la defensa del Estado o la seguridad pública, la protección de los derechos y liber-tades de terceros o las necesidades de las investigaciones que se estén realizando.

Igualmente, los responsables de los ficheros de la Hacienda Pública podrán den-egar el ejercicio de estos derechos cuando el mismo obstaculice las actuaciones administrativas tendentes a asegurar el cumplimiento de las obligaciones tribu-tarias y, en todo caso, cuando el afectado esté siendo objeto de actuaciones in-spectoras.

Sin embargo, el afectado al que se deniegue, total o parcialmente, el ejercicio de los derechos mencionados en los apartados anteriores podrá ponerlo en cono-cimiento del Director de la AEPD o del Organismo competente de cada Comuni-dad Autónoma en el caso de ficheros mantenidos por Cuerpos de Policía propios de éstas, o por las Administraciones Tributarias Autonómicas, quienes deberán asegurarse de la procedencia o improcedencia de la denegación.

7.1.2. El derecho de cancelación

Cuando el titular de los datos tuviera conocimiento de que sus datos personales en un fichero son inexactos o incompletos, inadecuados o excesivos, podrá so-licitar del responsable del fichero la cancelación de los mismos o su rectificación. Este derecho está limitado por el deber de conservación de los datos durante los

45

Resp

on

sabilid

ades

plazos previstos en las disposiciones aplicables o durante las relaciones contractuales con la persona o entidad responsable del tratamiento, sin perjuicio de la posible rec-tificación de los mismos.

Si en el plazo de 10 días no recibe contestación o ésta es insatisfactoria, puede rec-lamar ante la AEPD, acompañando la documentación acreditativa de haber solicitado la cancelación de datos ante la entidad de que se trate.

Como ya vimos anteriormente los datos de carácter personal serán cancelados cuan-do hayan dejado de ser necesarios o pertinentes para la finalidad para la cual fueron recabados o registrados, y no serán conservados en forma que permita la identifi-cación del interesado durante un período superior al necesario para los fines en base a los cuales hubieran sido recabados o registrados.

Igualmente señala la LOPD que serán rectificados o cancelados, en su caso, los datos de carácter personal cuyo tratamiento no se ajuste a lo dispuesto en dicha Ley y, en particular, cuando tales datos resulten inexactos o incompletos.

Los datos de carácter personal deberán ser conservados durante los plazos previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre la persona o entidad responsable del tratamiento y el interesado. La cancelación dará lugar al bloqueo de los datos, conservándose únicamente a disposición de las Admin-istraciones Públicas, Jueces y Tribunales, para la atención de las posibles responsabi-lidades nacidas del tratamiento, durante el plazo de prescripción de éstas. Cumplido el citado plazo deberá procederse a la supresión.

Si los datos rectificados o cancelados hubieran sido comunicados previamente, el re-sponsable del tratamiento deberá notificar la rectificación o cancelación efectuada a quien se hayan comunicado, en el caso de que se mantenga el tratamiento por este último, que deberá también proceder a la cancelación.

Por lo tanto, si existe una normativa que impida que se puedan cancelar los datos o que permite u obliga a conservarlos, puede denegarse la cancelación de los mismos, haciéndoselo saber al reclamante.

7.1.3. El derecho de rectificación

El derecho de rectificación supone el derecho del afectado a que los datos almace-nados en los ficheros del responsable sean veraces y exactos. Asimismo, expresa la obligación del responsable de mantener la veracidad y exactitud de sus ficheros.

Los medios y plazos para el ejercicio del derecho de rectificación son idénticos a los establecidos para el derecho de cancelación.

7.1.4. El derecho de oposición

El derecho de oposición puede ejercitarse en los casos en los que no es necesario el consentimiento del afectado para el tratamiento de sus datos de carácter personal. Siempre que una Ley no disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación per-sonal. En tal supuesto, el responsable del fichero excluirá del tratamiento los datos relativos al afectado. Igualmente que los anteriores derechos, el plazo máximo de

46

Res

po

nsa

bil

idad

es

resolución es de diez días hábiles.

También puede ejercerse este derecho cuando se trate de ficheros que tengan por finalidad la realización de actividades de publicidad y prospección comercial, y cuando el tratamiento tenga por finalidad la adopción de una decisión referida al afectado y basada únicamente en el tratamiento automatizado de sus datos.

En el caso de los listados de los Colegios profesionales, los afectados tienen dere-cho a que la entidad responsable del mantenimiento de los mismos, indique gra-tuitamente que sus datos personales no pueden utilizarse para fines de publicidad o prospección comercial. La atención a la solicitud de exclusión de la información innecesaria o de inclusión de la objeción al uso de los datos para fines de publici-dad o venta a distancia deberá realizarse en el plazo de diez días respecto de las informaciones que se realicen mediante consulta o comunicación telemática y en la siguiente edición del listado cualquiera que sea el soporte en que se edite.

7.1.5. Comunicaciones electrónicas

Por último respecto a los derechos de los afectados, enunciaremos brevemente algunos de los derechos de los destinatarios de servicios de comunicaciones elec-trónicas:

• Las comunicaciones comerciales realizadas por vía electrónica deberán ser claramente identificables como tales y la persona física o jurídica en nombre de la cual se realizan también deberá ser claramente identificable. En el comienzo del mensaje se deberá incluir la palabra “publicidad” o su abreviatura “publi”.

• Prohibición de envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas (SPAM). A excepción de cuando exista una relación contractual previa, siempre que se hubieran obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente.

• Posibilidad de oponerse a su tratamiento mediante un procedimiento sencillo y gratuito.

• Que los destinatarios sean informados de manera clara y completa sobre su utilización y finalidad de las cookies en sus accesos a las páginas web.

7.2. INFRACCIONESLos responsables de los ficheros y los encargados de los tratamientos están su-jetos al régimen sancionador establecido en la LOPD.

Las infracciones se dividen en tres tipos según la sanción económica que acarrea. Éstas son las siguientes:

• Leves: Sanción de 601,01 € a 60.101,21 €.

47

Resp

on

sabilid

ades

• Graves: Sanción de 60.101,21 € a 300.506,05 €.

• Muy Graves: Sanción de 300.506,05 € a 601.012,10 €.

Veamos a continuación ejemplos de estas infracciones.

7.2.1. Infracciones leves

Son infracciones leves:

• No atender solicitud de rectificación y cancelación de datos del interesado.

• No proporcionar información a la AEPD en aspectos no sustantivos.

• No inscribir ficheros en registro cuando no es infracción grave.

• Proceder a la recogida de datos sin informar a los afectados.

• Incumplir el deber de secreto.

7.2.2. Infracciones graves

Son infracciones graves:

• Crear ficheros sin autorización publicada en el B.O.E.

• Crear o recoger ficheros de titularidad privada con fines distintos al objeto de la empresa.

• Recabar datos sin consentimiento expreso, cuando se precise.

• Incumplir los principios y garantías legales en el tratamiento o uso, cuando no constituya infracción muy grave.

• Impedir ejercer derechos de acceso y oposición o no facilitar información solici-tada.

• Mantener datos inexactos o no rectificarlos cuando afecten a los derechos de las personas.

• Vulnerar el deber de guardar secreto en ficheros que contengan datos adminis-trativos, penales, Hacienda pública, servicios financieros, solvencia patrimonial y crédito.

• No otorgar las debidas condiciones de seguridad.

• No remitir las notificaciones requeridas a la AEPD.

• No permitir acceso a la función inspectora.

• Incumplir el deber de información cuando los datos se recaban de persona dis-tinta del afectado.

7.2.3. Infracciones muy graves

Son infracciones muy graves:

• Recabar datos de forma engañosa y fraudulenta.

• Comunicar y ceder datos fuera de los casos permitidos.

48

Res

po

nsa

bil

idad

es

• Tratar y crear datos de los especialmente protegidos sin mediar consentimien-to expreso.

• No cesar en el uso ilegítimo cuando sea requerido por la AEPD.

• Transferir a países extranjeros sin nivel de protección y sin autorización del Di-rector de la AEPD.

• Tratar los datos de forma ilegítima.

• Vulnerar el deber de guardar secreto de los datos especialmente protegidos.

• No atender u obstaculizar derechos de los afectados.

• No atender sistemáticamente la notificación de inclusión de datos en un fich-ero.

7.2.4. Administraciones Públicas

Cuando las infracciones fueran respecto de ficheros de los que sean responsables las Administraciones Públicas, no habrá sanción económica, sino que el Director de la Agencia de Protección de Datos dictará una resolución estableciendo las medidas que proceda adoptar para que cesen o se corrijan los efectos de la infrac-ción.

7.2.5. Prescripción

Las infracciones muy graves prescribirán a los tres años, las graves a los dos años y las leves al año. El plazo de prescripción comenzará a contarse desde el día en que la infracción se hubiera cometido.

Las sanciones impuestas por faltas muy graves prescribirán a los tres años, las impuestas por faltas graves a los dos años, y las impuestas por faltas leves al año. El plazo de prescripción de las sanciones, comenzará a contarse desde el día sigu-iente a aquél en que adquiera firmeza la resolución por la que se impone la san-ción.

PROTECCIÓN DE DATOS Y ABOGADOS

Todos los entes con personalidad jurídica tienen la obligación de cumplir la normativa en protección de datos personales. Por tanto, los abogados

también tienen esta obligación. Por tanto, es fundamental la concienciación respecto al cumplimiento de la LOPD.

50

Pro

tecc

ión

de

dat

os

y A

bo

gad

os

Como hemos visto, todos los entes con personalidad jurídica tienen la obligación de cumplir la normativa en protección de datos personales. Por tanto, los aboga-dos también tienen esta obligación. Por tanto, es fundamental la concienciación respecto al cumplimiento de la LOPD.

Una vez adquiridos esta concienciación y conocimiento, ha de adaptarse la activi-dad laboral dentro del despacho a las exigencias de la LOPD.

Lo primero que debe hacerse es localizar todos los ficheros con datos personales que posea el abogado o empresa de servicios jurídicos, tanto de los que sea re-sponsable como aquellos otros que trate y sean responsabilidad de otros. Una vez localizados, han de clasificarse, para posteriormente notificarlos e inscribirlos en el Registro General de Protección de Datos. Tras ello, se ha de analizar el tratami-ento que se realizan de estos datos para comprobar si se cumplen todas las obli-gaciones que aquí hemos descrito. Si no fuera así, se han de implantar las medidas necesarias para su cumplimiento. También debe preverse el cumplimiento de los derechos de los afectados.

Tras ello, debe de redactarse un documento de seguridad adaptado a las circun-stancias específicas de cada profesional. Y lo que es más importante: deben im-plantarse efectivamente esas medidas en el proceso de trabajo habitual. Una vez realizado esto, se estará evitando un riesgo muy importante, e incluso será un signo de calidad del trabajo desarrollado.

ANEXO.PREGUNTASFRECUENTES

A continuación, una vez vistos todos los aspectos de esta normativa que pueden afectar a los abogados, se incluye un resumen de las preguntas y respuestas más frecuentes realizadas a la AEPD, y que pueden servir para

solventar las últimas dudas sobre esta materia.

52

An

exo.

Pre

gu

nta

s Fr

ecu

ente

s A continuación, una vez vistos todos los aspectos de esta normativa que pueden afectar a los abogados, se incluye un resumen de las preguntas y respuestas más frecuentes realizadas a la AEPD, y que pueden servir para solventar las últimas dudas sobre esta materia.

1. ÁMBITO DE APLICACIÓN DE LA LEY ORGÁNICA DE PRO-TECCIÓN DE DATOS DE CARÁCTER PERSONAL• Nuestra empresa va a ser responsable de ficheros, pero que afectan a datos de

personas jurídicas, a las cuales vamos a proporcionar un servicio de alojami-ento de encuestas anónimas. ¿Se nos aplica la formativa sobre protección de datos?

En relación con su consulta se le indica con carácter general que el objeto de la Ley está regulado en los artículos 1 y 2 de la Ley Orgánica 15/1999, de 13 de diciem-bre, de Protección de Datos de Carácter Personal que expresamente establecen:

“Artículo 1. Objeto.

La presente Ley Orgánica tiene por objeto garantizar y proteger, en lo que conci-erne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar.

Artículo 2. Ámbito de aplicación.

1. La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado.”

Asimismo, el artículo 2.2 del Real Decreto 1720/2007, de 21 de diciembre, esta-blece que el reglamento no será aplicable a los tratamientos de datos referidos a personas jurídicas ni a los ficheros que se limiten a incorporar los datos de las personas físicas que presten sus servicios en aquellas, consistentes en nombre y apellidos, las funciones o puestos desempeñados, la dirección postal o electróni-ca, teléfono y número de fax profesionales.

Por ello no es de aplicación la Ley Orgánica 15/1999 al caso planteado relativo al tratamiento de datos de una empresa o persona jurídica o de personal de con-tacto de la misma.

• Se ha realizado recientemente un proceso de selección de alumnos para una guardería infantil. Para obtener plaza los padres de los futuros alumnos tenía-mos que presentar una serie de documentación para ser baremada. Finalizado este proceso se ha hecho público vía Internet, el listado con la puntuación de todos los alumnos admitidos o no, desglosado por conceptos. Con lo que todo el mundo puede conocer los puntos asignados por renta, situación laboral, familia monoparental o no, numero de hermanos, minusvalía, etc. Mi pregunta es: ¿Puede hacerse público este listado con datos de menores?

53

An

exo.P

regu

ntas frecu

entes

El artículo 6 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal señala que:

“1. El tratamiento de los datos de carácter personal requerirá el consentimiento ineq-uívoco del afectado, salvo que la Ley disponga otra cosa.”

En virtud de lo anterior, para tratar datos personales de menores de 14 años de edad, se precisa en algunas ocasiones el consentimiento de los mismos. Dado que los meno-res de edad no pueden normalmente celebrar contratos ni obligarse jurídicamente, deben ser sus padres o tutores (o quienes tengan la patria potestad) los que deben prestar el consentimiento en su nombre, a menos que el menor este emancipado o se de alguna otra circunstancia que le permita actuar como un mayor de edad en el mundo jurídico, es decir, con plena capacidad jurídica.

Los mayores de 14 años pueden prestar su propio consentimiento a efectos de la protección de datos.

• ¿Se puede permitir el acceso a determinados datos de carácter sanitario de una persona fallecida, obrantes en poder de una administración local (para uso de los servicios sociales), y que son solicitados por el cónyuge del fallecido? ¿Es aplicable la legislación de Protección de Datos a una persona fallecida?

Lo primero que hay que ponerle de relieve, es que de conformidad con lo establecido en la normativa de aplicación sobre protección de datos, los derechos de acceso rec-tificación y cancelación a los datos personales son derechos personalísimos que úni-camente pueden ser ejercitados directamente por el propio afectado.

En consecuencia, los datos de las personas fallecidas no entran dentro del amparo de la LOPD ni de los reglamentos que la desarrollan.

No obstante, la AEPD viene admitiendo que los familiares de los fallecidos ejerciten el derecho de acceso a su historial clínico, de conformidad con lo prevenido en la Ley de Autonomía del Paciente.

Asimismo, el nuevo Reglamento 1720/2007, de 21 de diciembre, permite también que las personas vinculadas familiarmente al fallecido pueden notificar al respon-sable del fichero el fallecimiento con la finalidad de perseguir la cancelación de los datos de aquel del fichero, sin que ello suponga un posterior derecho a ser tutelado por la AEPD.

También permite que los familiares de los fallecidos ejerciten el derecho de acceso a los datos de la historia clínica de estos últimos, en los términos que ampara la Ley de Autonomía del Paciente.

• Un cliente desea enviar una serie de Correos electrónicos comprados y adquiridos de forma legal a otras empresas dedicadas a la venta de Base de datos con mail. Mi cliente quiere contratarme para efectuar una campaña de consentimiento, es decir desea saber si puede enviar dicha campaña de mail para recibir por mail el consentimiento de los usuarios. Mi pregunta sería la siguiente: ¿Esta sería la forma legal de proceder?

El concepto de dato personal, según la definición de la Ley Orgánica 15/1999, de 13

54

An

exo.

Pre

gu

nta

s Fr

ecu

ente

s de diciembre, de protección de datos de carácter personal, comprende cualquier información concerniente a persona física identificada o identificable, de donde se requiere la concurrencia de un doble elemento: por una parte la existencia de una información o dato y de otra, que dicho dato pueda vincularse a una persona física identificada o identificable.

En el supuesto de direcciones electrónicas la información está constituida por un conjunto de signos que cuando permiten la vinculación directa o indirecta con una persona física la convierte en un dato de carácter personal.

El tratamiento de datos personales (en este caso, la dirección del e-mail) requiere el consentimiento de los titulares de los datos o bien la existencia de una Ley que lo ampare. En consecuencia, la utilización de e-mail sin consentimiento podría ser vulneración de la normativa sobre protección de datos y se podría denunciar ante la Agencia.

• Tengo un correo en el cual me indican que rellene unos datos para verificar mi cuenta corriente en un banco de Valencia y no soy de Valencia. ¿Me pueden ayudar a combatir esta estafa?

El tema por Vd. expuesto corresponde a actuaciones que exceden del ámbito de competencias de este Organismo, al poder ser constitutivas de delito. En conse-cuencia, deberá Vd. dirigirse a la BRIGADA DE INVESTIGACIÓN TECNOLÓGICA DE LA COMISARIA GENERAL DE POLICIA JUDICIAL (Calle Julián González Segador s/n, 28043, Madrid) y exponer allí su caso.

• ¿Cómo afecta la LOPD a la libreta de direcciones de correo electrónico (Micro-soft Outlook) que guardan datos en cada PC?

Se define un Fichero como “todo conjunto organizado de datos de carácter per-sonal, cualquiera que fuere la forma o modalidad de su creación, almacenami-ento, organización y acceso”.

En consecuencia, la empresa será responsable de tantos ficheros como conjun-tos estructurados de datos, adscritos a una determinada finalidad legítima utilice. Cada conjunto estructurado de datos aplicado a una finalidad concreta constituye un fichero, con independencia de los datos de carácter personal que se incluyen.

Partiendo de la definición anterior, la libreta de direcciones de Outlook es un fich-ero que contiene datos de carácter personal, ya que el e-mail es tal si puede iden-tificarse a su titular.

En consecuencia, debe procederse a la inscripción de ficheros en el Registro General de Protección de Datos, sito en la calle Jorge Juan, 6, 28001, Madrid, por correo, fax o Internet.

• He ido a comprar a un gran almacén y me han intentado captar mi firma, pero no en un papel normal, sino en una tablilla electrónica, en la que queda graba-da mi firma de manera digital, con el peligro que conlleva ¿Es legal?

El artículo 4 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal señala que:

55

An

exo.P

regu

ntas frecu

entes

“1. Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no ex-cesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.

2. Los datos de carácter personal objeto de tratamiento no podrán usarse para finali-dades incompatibles con aquellas para las que los datos hubieran sido recogidos. No se considerará incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos.”

Igualmente, la entidad que recaba datos personales debe informar de lo dispuesto en el artículo 5 de la citada Ley Orgánica, según el cual:

“1. Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:

a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.

b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.

c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.

d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.

e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante….”

2. Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior.”

En consecuencia, cuando se recaban datos personales (entre ellos la firma) debe informarse de los expuesto anteriormente. Por lo tanto, teniendo en cuenta que la firma del contrato presupone su aceptación y si los datos se usan para el exclusivo cumplimiento del mismo, informándose debidamente al titular de los datos, se cump-liría la normativa de protección de datos. Si la firma digitalizada se usa para otros fines distintos, se podría estar infringiendo dicha normativa.

• Ha llegado a mis oídos que el titular de una Armería dispone de videos en los que yo aparezco grabado, y que va jactándose de ello en sus reuniones particulares con gente de su entorno, haciendo comentarios dirigidos hacia mí persona con cierto tono degradante. ¿Es eso legal?

En contestación a su consulta, le tenemos que señalar que este organismo única-mente tiene competencia para analizar si la recogida de imágenes puede ser con-traria a la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal. Para dicho fin se ha dictado la INSTRUCCIÓN 1/2006, de 8 de noviembre, de la Agencia Española de Protección de Datos, sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras.

56

An

exo.

Pre

gu

nta

s Fr

ecu

ente

s La potestad para colocar o no videocámaras la otorga el Ministerio del Interior o las Delegaciones del Gobierno pertinentes.

Tal y como marca la Instrucción, las imágenes se consideran un dato de carácter personal, en virtud de lo establecido en el artículo 3 de la Ley Orgánica 15/1999 y el artículo 1.4 del Real Decreto 1322/1994 de 20 de junio, que considera como dato de carácter personal la información gráfica o fotográfica. Se excluyen el tratami-ento de imágenes en el ámbito personal y doméstico, entendiéndose por tal el realizado por una persona física en el marco de una actividad exclusivamente pri-vada o familiar.

Aunque nos hallemos ante un supuesto en que existan datos de carácter person-al, será necesario que dichos datos se encuentren incorporados a un fichero, defi-nido como “todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso”, por el artículo 3 b) de la Ley. Ello supone que en el supuesto en que las imágenes no sean objeto de una organización sistemática, con arreglo a criterios que permitan la búsqueda de las mismas a partir de los datos personales de una determinada persona, el archivo en que se contuvieran no será considerado fich-ero a los efectos de la Ley. A estos efectos, no se considerará fichero el tratamiento consistente exclusivamente en la reproducción o emisión de imágenes en tiempo real.

Se considerará identificable una persona cuando su identidad pueda determinarse mediante los tratamientos a los que se refiere la Instrucción 1/2006 sin que ello requiera plazos o actividades desproporcionados. Las referencias a videocámaras y cámaras se entenderán hechas también a cualquier medio técnico análogo y, en general, a cualquier sistema que permita los tratamientos previstos en la misma.

En consecuencia, y únicamente bajo el aspecto de lo que es protección de datos, la grabación de imágenes a las que se refiere su escrito estaría fuera del ámbito de aplicación de la LOPD siempre que no pueda procederse a la identificación de las personas que aparecen en las imágenes.

Cuando se graba en tiempo real no existe fichero a inscribir, pero se debe infor-mar, mediante la colocación del cartel pertinente, de que existe una zona vide-ovigilada y que el titular de las imágenes puede ejercitar sus derechos de acceso, rectificación, cancelación u oposición.

• Se va a poner en marcha en el Ayuntamiento un sistema de grabación de lla-madas realizadas al teléfono de la Policía Local, por lo que consideramos que debe procederse a registrar el fichero correspondiente. La duda que se plantea es la de si es necesario el consentimiento del afectado para ello debiendo in-formarse de que la llamada va a quedar grabada.

Las voces a las que se refiere sólo podrán ser consideradas datos de carácter per-sonal en caso de que las mismas permitan la identificación de las personas que aparecen en dichas voces, no encontrándose amparadas en la Ley Orgánica en caso contrario.

57

An

exo.P

regu

ntas frecu

entes

De otro lado, y aun cuando nos hallemos ante un supuesto en que existan datos de carácter personal, será necesario que dichos datos se encuentren incorporados a un fichero.

En consecuencia, y únicamente bajo el aspecto de lo que es protección de datos, la grabación de llamadas estaría fuera del ámbito de aplicación de la LOPD siempre que no pueda procederse a la identificación de las personas que aparecen en las voces o, en caso de poderse identificar dichas voces no hayan sido incorporadas a un fichero, en los términos definidos.

Cuando se recaban voces asociadas a otros datos identificativos, se debe informar en los términos del artículo 5 de la LOPD.

• Quisiera denunciar a una empresa de viajes por utilizar mis datos, para enviar spam con mi e-mail, y mis datos personales, a otras personas, a nivel internacional, las cuales, me responden , que me van a demandar a mi por spam ¿Me pueden ayudar?

Desde el punto de vista de la normativa vigente, se deben identificar como spam todas aquellas comunicaciones comerciales electrónicas del tipo que fueren (correo electrónico de Internet, mensajes cortos de telefonía móvil “SMS”, etc.) que el usuario recibe sin haber otorgado su consentimiento para ello.

Si el afectado es una persona física:

Los titulares de los datos personales pueden instar la oposición al tratamiento, au-tomatizado o no, de sus datos, de conformidad con lo previsto en el artículo 6.4 de la Ley Orgánica 15/1999, de 13 de diciembre, que establece:

“…En los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de los datos de carácter personal, y siempre que una Ley no disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En tal supuesto, el responsable del fichero excluirá del tratamiento los datos relativos al afectado.”

El ejercicio del derecho de oposición es personalismo, lo que significa que el titular de los datos personalmente deberá dirigirse a dicha entidad, utilizando cualquier medio que permita acreditar el envío y la recogida de su solicitud, para el ejercicio de sus derechos, acompañando copia de su D.N.I.

Si en el plazo de diez días hábiles no recibe contestación o esta es insatisfactoria, puede reclamar ante esta Agencia Española de Protección de Datos, acompañando la documentación acreditativa de haber solicitado la oposición al tratamiento de datos ante la entidad que se trate.

Igualmente podrá denunciarlo, si así lo desea.

Si el afectado es una persona jurídica:

Puede ponerlo en conocimiento de esta Agencia. Para ello deberá presentar una es-crito de denuncia - en los términos que se prevén en el artículo 70 de la Ley 30/1992 de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Adminis-trativo Común - y enviarlo por correo (incluido el electrónico).

58

An

exo.

Pre

gu

nta

s Fr

ecu

ente

s Dicho escrito deberá contener:

a) Nombre y apellidos del interesado y, en su caso, de la persona que lo repre-sente, así como la identificación del medio preferente o del lugar que se señale a efectos de notificaciones.

b) Hechos, razones y petición en que se concrete, con toda claridad, la solicitud.

c) Lugar y fecha.

d) Firma del solicitante o acreditación de la autenticidad de su voluntad expre-sada por cualquier medio.

e) Órgano, centro o unidad administrativa a la que se dirige. (En su caso sería la Subdirección General de Inspección de Datos de esta Agencia, calle Jorge Juan, 6-28001-Madrid).

Igualmente, las denuncias deberán expresar la identificación de los presuntos re-sponsables y acompañar los documentos o cualquier otro tipo de prueba que permita corroborar los hechos denunciados.

• Me dirijo a ustedes en relación con el problema suscitado en mi trabajo como personal funcionario docente dependiente de la Comunidad de Madrid. Ac-tualmente estoy destinado en un centro de la capital, en cuyo edificio coex-isten dos organismos públicos con entidad jurídica propia cada uno de ellos. El Centro de formación de profesores hace entrega de los horarios y lista de asistentes a un curso de inglés impartido en el referido Centro, al que asistimos algunos compañeros del Instituto, sin nuestro consentimiento. ¿Es legal?

El tema expuesto corresponde a actuaciones realizadas por un Organismo de-pendiente de la Comunidad de Madrid. En consecuencia, deberá plantearse esta cuestión a la Agencia de Protección de Datos de la Comunidad de Madrid (Calle Cardenal Marcelo Spínola, 14, 28016, Madrid) que tiene competencias sobre los ficheros públicos de su ámbito territorial.

• Por temas de trabajo, como funcionario público, necesito saber la relación de juzgados y secretarios judiciales de la provincia de Guipúzcoa y se me ha ocur-rido solicitar tales datos a la Consejería de Justicia del Gobierno Vasco. Mi pre-gunta es la siguiente, ¿existe algún impedimento para que me faciliten nom-bre, apellidos y demás datos personales?

Actualmente la Comunidades del País Vasco tiene Agencia de Protección de Da-tos propia en funcionamiento.

Dicha Agencia tiene competencias sobre los ficheros públicos de su ámbito ter-ritorial. Los ficheros privados siguen siendo competencia de la Agencia Española de Protección de Datos.

En este caso, la competencia es de la Agencia Vasca de Protección de Datos, situ-ada en la calle BEATO TOMAS DE ZUMARRAGA, 7-1-3º PLANTA, 01008-VITORIA GASTEIZ.

• Me gustaría que me pudieran informar sobre si es lícito el que puedan facilitar

59

An

exo.P

regu

ntas frecu

entes

todos mis datos de filiación mis números de teléfono tanto el de casa como el del móvil, el cual estamos obligados a facilitar a la administración por ser funcionarios de Policía para estar localizados y que esto se facilite a una empresa privada para que controlen las bajas del personal sin nuestro consentimiento y sin informarnos. Esto está sucediendo en el Ayuntamiento de Viladecans (Barcelona).

Actualmente la Comunidad de Cataluña tiene Agencia de Protección de Datos propia en funcionamiento, con competencias sobre los ficheros públicos de su ámbito ter-ritorial. Los ficheros privados siguen siendo competencia de la Agencia Española de Protección de Datos.

En este caso, la competencia es de la Agencia Catalana de Protección de Datos, situ-ada en la calle LLACUNA, 166 - 7º 08018 BARCELONA.

2. PRINCIPIOS DE LA LOPD: CALIDAD DE DATOS• ¿Puedo utilizar los datos personales de mi fichero de personal para realizar a mis

trabajadores una encuesta sobre aficiones/hobbies?

El artículo 4 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, señala que:

“Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.

Los datos de carácter personal objeto de tratamiento no podrán usarse para finali-dades incompatibles con aquellas para las que los datos hubieran sido recogidos. No se considerará incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos.

Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado.

Si los datos de carácter personal registrados resultaran ser inexactos, en todo o en parte, o incompletos, serán cancelados y sustituidos de oficio por los correspon-dientes datos rectificados o completados, sin perjuicio de las facultades que a los afectados reconoce el artículo 16.

Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesa-rios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados. No serán conservados en forma que permita la identificación del interesado durante un período superior al necesario para los fines en base a los cuales hubieran sido recabados o registrados. Reglamentariamente se determinará el procedimiento por el que, por excepción, atendidos los valores históricos, estadísticos o científicos de acuerdo con la legislación específica, se decida el mantenimiento íntegro de determi-nados datos.

Los datos de carácter personal serán almacenados de forma que permitan el ejercicio

60

An

exo.

Pre

gu

nta

s Fr

ecu

ente

s del derecho de acceso, salvo que sean legalmente cancelados.

Se prohíbe la recogida de datos por medios fraudulentos, desleales o ilícitos.”

Con este principio lo que se trata de evitar es que se proceda a una recopilación de datos masiva que se aparte de la necesidad y finalidad para la que dichos da-tos pretendan ser utilizados y tratados. Igualmente en base a dicho principio y a la finalidad del tratamiento se fija la condición de que una vez desaparezca la necesidad de su tratamiento y por tanto la necesidad de que permanezcan alma-cenados dichos datos, deberán ser cancelados directamente por el responsable del fichero.

También se trata de evitar que los datos sean usados para finalidades incompati-bles o distintas de las inicialmente previstas.

3. PRINCIPIOS DE LA LOPD: DEBER DE INFORMACIÓN EN LA RECOGIDA DE DATOS PERSONALES• ¿Qué información debe proporcionarse a los ciudadanos cuando se recogen

sus datos personales? ¿Cómo debe darse esa información?

El deber de información previo al tratamiento de los datos de carácter personal es uno de los derechos básicos y principales de los ciudadanos contenidos en la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal; por tanto, si se van a registrar y tratar datos de carácter personal, será necesario informar a través del medio que se utilice para la recogida, del contenido del artículo 5 que regula el derecho de información de los afectados previo a la recogida de los datos:

“Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:

De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.

Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.

De las consecuencias de la obtención de los datos o de la negativa a suministrar-los.

De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.

De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante….

Cuando el responsable del tratamiento no esté establecido en el territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, deberá designar, salvo que tales medios se utilicen con fines de trán-sito, un representante en España, sin perjuicio de las acciones que pudieran em-prenderse contra el propio responsable del tratamiento.

61

An

exo.P

regu

ntas frecu

entes

Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior.

No será necesaria la información a que se refieren las letras b), c) y d) del apartado 1 si el contenido de ella se deduce claramente de la naturaleza de los datos personales que se solicitan o de las circunstancias en que se recaban.

Cuando los datos de carácter personal no hayan sido recabados del interesado, éste deberá ser informado de forma expresa, precisa e inequívoca, por el responsable del fichero o su representante, dentro de los tres meses siguientes al momento del regis-tro de los datos, salvo que ya hubiera sido informado con anterioridad, del contenido del tratamiento, de la procedencia de los datos, así como de lo previsto en las letras a), d) y e) del apartado 1 del presente artículo.

No será de aplicación lo dispuesto en el apartado anterior cuando expresamente una Ley lo prevea, cuando el tratamiento tenga fines históricos, estadísticos o científicos, o cuando la información al interesado resulte imposible o exija esfuerzos despropor-cionados, a criterio de la Agencia Española de Protección de Datos o del organismo autonómico equivalente, en consideración al número de interesados, a la antigüedad de los datos y a las posibles medidas compensatorias.

Asimismo, tampoco regirá lo dispuesto en el apartado anterior cuando los datos pro-cedan de fuentes accesibles al público y se destinen a la actividad de publicidad o prospección comercial, en cuyo caso, en cada comunicación que se dirija al inter-esado se le informará del origen de los datos y de la identidad del responsable del tratamiento así como de los derechos que le asisten.’”

En consecuencia, cuando se recaban datos personales debe informarse de modo ex-preso, preciso e inequívoco de lo expuesto anteriormente.

4. PRINCIPIOS DE LA LOPD: TRATAMIENTO DE DATOS PERSON-ALES• ¿Es conforme a la normativa de protección de datos que mi nombre y apellidos

aparezcan reflejados en el tablón de anuncios de la Comunidad de Vecinos donde vivo?

El hecho de hacer públicos los nombres de los vecinos como consecuencia del im-pago de cuotas podría implicar un tratamiento de datos en los términos que la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal lo considera, dado que según la definición regulada en dicha Ley, por tratamiento de datos hay que entender aquellas operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consul-tas, interconexiones y transferencia.

No obstante si la exposición pública de los datos viene regulada en una Ley, es per-fectamente licita (como es el caso de las comunidades de vecinos, cuya ley de prop-

62

An

exo.

Pre

gu

nta

s Fr

ecu

ente

s iedad horizontal permite, en sus artículos 15.2 y 16.2, la publicación de las deudas vencidas y no pagadas por los propietarios). En este sentido entre las obligaciones impuestas por la Ley de Propiedad Horizontal (en los términos previstos tras su reforma, operada por la Ley 8/1999, de 6 de abril), en su objetivo de lograr que las comunidades de propietarios puedan legítimamente cobrar lo que les adeudan los copropietarios integrantes de las mismas, se encuentra la de dar publicidad a través de la convocatoria de la Junta de propietarios de aquellos que no se en-cuentren al corriente en el pago de todas las deudas vencidas con la comunidad.

Así el artículo 16.2 de la citada Ley respecto a la convocatoria de la Junta esta-blece, “ La convocatoria contendrá una relación de los propietarios que no estén al corriente en el pago de las deudas vencidas a la comunidad y advertirá de la pri-vación del derecho de voto si se dan los supuestos previstos en el artículo 15.2”, lo que conlleva necesariamente el conocimiento de aquellos propietarios deudores, sin necesidad de recabar el consentimiento de los mismos. La posibilidad de dar publicidad de los propietarios incumplidores de pago ampara el hecho de pub-licarlo en tablones dentro de la comunidad, máxime si así se acuerda en la Junta.

• Esta mañana he recibido una carta desde el Instituto Nacional de Estadística en la que se me insta a rellenar un cuestionario de manera obligatoria en base a estas dos frases “(…) las leyes 4/1990 y 13/1996 precisan la colaboración es-tadística, considerando esta Encuesta de cumplimentación obligatoria” y “(…) envíe el cuestionario cumplimentado dentro del plazo señalado en el mismo, para evitar en lo posible posteriores reclamaciones”. ¿Con qué derecho puede el INE en base las leyes citadas (que me obligan a darle esta información al INE, no a terceros) a obligarme a ofrecer datos detallados sobre mi ejercicio profesional a un empresa privada cuyos intereses desconozco y sin mi consen-timiento?

En contestación a su consulta se le informa que el INE está sujeto a la normativa sobre función estadística pública y teniendo en cuenta esta circunstancia, y al es-tar amparado por el secreto estadístico tiene potestad para solicitar información individualizada a los ciudadanos con el fin de ejercer las funciones que legalmente tiene atribuidas.

Asimismo, se le informa que según dispone el propio artículo 2 de la Ley Orgánica 15/1999, de protección de datos personales:

Se regirán por sus disposiciones específicas, y por lo especialmente previsto, en su caso, por esta Ley Orgánica los tratamientos de datos personales que sirvan a fines exclusivamente estadísticos, y estén amparados por la legislación estatal o autonómica sobre la función estadística pública.

• Estamos vendiendo los activos de una sociedad dedicada a la intermediación financiera, deseamos saber que tratamiento, obligaciones y responsabilidades supone la cesión de datos de clientes.

Respecto a la adquisición o división de empresas, se le informa que es una prác-tica habitual en el tráfico mercantil el que se produzcan fusiones y absorciones de empresas, actividad perfectamente legal siempre que se actúe conforme a lo

63

An

exo.P

regu

ntas frecu

entes

dispuesto en el Código de Comercio y legislación complementaria.

El hecho de que como consecuencia de las fusiones, escisiones y absorciones se con-stituyan nuevas empresas en las que quedará englobado todo el activo y patrimonio de las empresas fusionadas o absorbidas, es igualmente legal, pero hay que comunic-ar a los titulares de datos personales esa circunstancia, a los efectos de que puedan ejercitar sus derechos de acceso, rectificación, cancelación y oposición, en consonan-cia con lo dispuesto en el artículo 5.4 de la LOPD.

Igualmente, deben inscribir en el Registro General de Protección de Datos el nuevo fichero/s resultante de la fusión o absorción y suprimir los preexistentes.

• Hemos recibido un fax con membrete del Ministerio del Interior, Dirección General de la Policía, en el que se nos solicitan los datos que obren en nuestro poder como Administrador de Fincas, referentes a los inquilinos o propietarios de las viviendas ubicadas en la calle XXXXX. Quisiéramos confirmar que estamos facultados, previa autorización de los Presidentes vigentes de las Comunidades afectadas, a facilitar estos datos.

La policía, como Cuerpo o Fuerza de Seguridad del Estado, tiene derecho a conocer datos personales sin consentimiento de sus titulares únicamente en el caso de que los datos resulten necesarios para la prevención de un peligro real para la seguridad pública o para la represión de infracciones penales, según establece el artículo 22, apartado 2, de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LOPD).

Por lo tanto, fuera de estos casos, no es posible el tratamiento de datos por la policía, salvo que exista una Ley que permita u obligue a ese tratamiento.

• He ido a pedir un préstamo y me lo han denegado, afirmando que estoy incluido en un fichero de morosos y nadie me lo ha comunicado. ¿Es esto legal? ¿Qué debo hacer?

En los ficheros de información de solvencia patrimonial y crédito se puede incluir al deudor siempre que lo comunique el acreedor o su representante legal, o bien los da-tos de insolvencia provengan de fuentes accesibles al público. El artículo 29 de la Ley Orgánica 15/1999 de protección de datos de carácter personal, regulan los ficheros de impagados y morosos.

A la vista de dicho precepto se destaca que el responsable del fichero de información sobre impagados deberá comunicar al afectado la inclusión del dato de morosidad en el plazo de los treinta días siguientes a dicha inclusión.

La inclusión de los datos de carácter personal en los ficheros relativos al cumplim-iento o incumplimiento de obligaciones dinerarias a los que hace relación el mencio-nado artículo, deberá efectuarse cuando exista una deuda cierta, vencida y exigible, que haya resultado impagada y, cuando se haya requerido por el acreedor el pago de la deuda a quien corresponda. El tiempo que se puede permanecer en este tipo de ficheros es de seis años.

No podrán incluirse en los ficheros de esta naturaleza datos personales sobre los que exista un principio de prueba documental que aparentemente contradiga la existen-

64

An

exo.

Pre

gu

nta

s Fr

ecu

ente

s cia de esa deuda. Tal circunstancia determinará igualmente la desaparición cau-telar del dato personal desfavorable en los supuestos en que ya se hubiera efec-tuado su inclusión en el fichero.

El acreedor deberá informar al deudor, en el momento en que se celebre el con-trato que en caso de no producirse el pago los datos relativos al impago deberán ser comunicados a ficheros de este tipo.

En el caso de que se haya procedido al pago de la deuda, se deberá cancelar inme-diatamente el dato relativo a la misma.

El titular de los datos puede solicitar la cancelación de los mismos en caso de pago de la deuda. Esa solicitud puede dirigirla tanto al responsable del fichero de solvencia como a la empresa que haya incluido los datos. Si la solicitud se dirige a aquella, el responsable del fichero deberá trasladar la petición al acreedor, para que resuelva. Si el acreedor no contesta en siete días hábiles, el responsable del fichero de solvencia procederá a cancelar cautelarmente la deuda.

La Agencia Española de Protección de Datos no es el Órgano encargado de de-cidir, a priori, si la deuda es cierta, vencida y exigible, circunstancia que debe ser dirimida frente a las Asociaciones de Consumo existentes al efecto o frente a los tribunales de la justicia ordinaria.

Las direcciones de acceso de los ficheros de morosos más comunes, por si Vd. desconoce en qué fichero está incluido, son las siguientes:

El afectado puede solicitar la cancelación de sus datos de los ficheros de este tipo.

Los más importantes son los siguientes.

ASNEF-EQUIFAX, SERVICIOS DE INFORMACIÓN SOBRE SOLVENCIA Y CRÉDITO, S.L.

Fichero ASNEF

Dirección para el ejercicio de los derechos:

Apartado de correos 10546

28080 MADRID

EQUIFAX IBERICA, S.L.

Fichero INCIDENCIAS JUDICIALES


Apartado de correos 10546

28080 MADRID

EXPERIAN BUREAU DE CREDITO, S.A.

Fichero: BADEXCUG


Apartado de Correos 40163.

28080 Madrid

65

An

exo.P

regu

ntas frecu

entes

• Una persona solicita certificación de retenciones referidas a ejercicio fiscal de otra persona distinta ¿puede entregársele esta certificación a persona distinta del per-ceptor sin previa autorización efectuada por dicho perceptor?

La Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal establece en su artículo 10 el deber de secreto, de tal forma que el responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.

Basándose en dicho deber, cualquier entidad que maneje información personal, es-tará obligada a mantener la confidencialidad de la misma y a no ceder dicha infor-mación a nadie sin el consentimiento del titular de los datos personales, salvo que se diera alguna de las excepciones reguladas en el artículo 11 de dicha Ley.

La vulneración del deber de secreto puede constituir falta leve. Si la información rev-elada se refiere a datos relativos a la comisión de infracciones administrativas o penal-es, Hacienda Pública, servicios financieros y aquellos ficheros cuyo funcionamiento se rija por el artículo 29 de la Ley Orgánica 15/1999, constituye infracción grave. Final-mente, si se revela información sobre datos de ideología, religión, creencias, origen racial, salud o vida sexual así como los que contengan datos recabados para fines policiales sin consentimiento de las personas afectadas constituye infracción muy grave.

• ¿Existe algún tipo de incumplimiento normativo por contactar con un cliente que ha indicado expresamente que no desea la cesión de sus datos, que no desean que se compartan con empresas del grupo y que no desean que sus datos se utili-cen con fines comerciales, si se contacta con ellos, a través de un instituto de inves-tigación y en su nombre, para realizar una encuesta para poder valorar su grado de satisfacción con el servicio prestado?

La Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal al regular en su artículo 11 la comunicación de datos, establece el principio de que los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.

No obstante, el propio artículo 11 establece que, será nulo el consentimiento para la comunicación de los datos de carácter personal a un tercero cuando la información que se facilite al interesado no le permita conocer la finalidad a que destinarán los datos cuya comunicación se autoriza o el tipo de actividad de aquél a quien se pre-tenden comunicar. En este sentido se le señala que la finalidad deberá ser determi-nada, explícita y legitima.

Los datos personales podrán ser tratados por cualquier entidad si el titular no se opone, y en el caso de la cesión de sus datos a terceros, aunque el consentimiento se haya prestado en el momento inicial, siempre tendrá el carácter de revocable como establece la LOPD en su artículo 11. 4. pudiendo Vd. en cualquier momento oponerse a la cesión autorizada en un principio.

66

An

exo.

Pre

gu

nta

s Fr

ecu

ente

s Ciertamente, el consentimiento puede obtener de manera expresa o tácita. El no oponerse a una cesión de datos puede suponer la existencia de un consentimien-to tácito. Asimismo, la empresa debe demostrar que ha remitido al titular de los datos la solicitud de consentimiento y que éste la ha recibido.

Igualmente, se le informa de que, si la empresa cede los datos a pesar de la nega-tiva de su titular a hacerlo, podrá denunciarlo ante este Organismo.

• ¿Qué debo hacer cuando en las cláusulas de un contrato de servicios se incluye un apartado, que nada tiene que ver con el objeto del contrato, según el cual acepto el tratamiento y uso de mis datos personales para fines que no tienen que ver con el citado contrato? ¿No son las citadas cláusulas contrarias al es-píritu de la Ley?

Con carácter general la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (en adelante LOPD) al regular en el artículo 6 el tratamiento de datos, señala que El consentimiento a que se refiere el artículo podrá ser revocado cuan-do exista causa justificada para ello y no se le atribuyan efectos retroactivos.

Los datos personales podrán ser tratados por cualquier entidad con la finalidad es-trictamente contractual, y en el caso del tratamiento de sus datos, aunque el con-sentimiento se haya prestado en el momento inicial, siempre tendrá el carácter de revocable como establece la LOPD en su artículo 6. 3. pudiendo en cualquier mo-mento oponerse el titular de los datos al tratamiento autorizada en un principio.

Ciertamente, el consentimiento puede obtenerse de manera expresa o tácita. El no oponerse a un tratamiento de datos puede suponer la existencia de un con-sentimiento tácito.

• ¿Es legal la cesión de datos del padrón de habitantes a la policía?

Efectivamente, la Ley de Extranjería añade una nueva Disposición Adicional Sép-tima a la Ley 7/1985, que regula las bases del Régimen Local. Dicha incorporación pretende regular el acceso a los datos del padrón por las autoridades policiales, con lo cual se le concede una habilitación para acceder a los datos de carácter personal de los extranjeros contenidos en el Padrón Municipal.

El Articulo 22 Apartados 2 y 3 de la ley 15/1999 establecen claramente los supues-tos en que las fuerzas y cuerpos de seguridad podrán recoger y tratar los datos de carácter personal, siendo estos: cuando exista un peligro real para la seguridad pública o para la represión de infracciones penales y para los fines de una investi-gación concreta.

Por tanto, a la vista de lo establecido en los preceptos citados, cabe deducir que será admisible la cesión solicitada por cualquiera de dichas policías, si bien quedando la misma limitada a los datos referidos al nombre, apellidos y domicilio, al ser éstos los únicos que la Ley de Bases de Régimen Local autoriza a transmitir, y para el uso derivado de la función de mantenimiento de la seguridad pública.

• Tengo 3 empresas de un grupo, ubicadas físicamente en la misma oficina que comparten un mismo fichero. En este caso ¿cómo tengo que declararlo, como cesión de una a la otra o cada una le doy de alta el mismo fichero?

67

An

exo.P

regu

ntas frecu

entes

La comunicación de datos está regulada en el artículo 11 de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal, y se prevé dentro de su apartado prime-ro que los datos de carácter personal objeto del tratamiento sólo podrán ser comu-nicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.

En el caso planteado (creación de una base de datos común entre dos empresas), cuando una empresa accede a la base de datos de otra que tiene su propia personali-dad jurídica se está produciendo una cesión de datos.

Cada empresa debe inscribir su propio fichero con datos personales y debe obtener el consentimiento de los titulares de los datos para que se produzca la cesión entre ambas.

• Soy la secretaria de un administrador de fincas y en una reunión de comunidad preguntó el presidente si le podíamos facilitar los datos de todos los vecinos de la comunidad. Nombre, apellidos, teléfono y dirección. ¿Es legal?

El hecho de conocer por cualquier propietario el listado de todos los propietarios o vecinos implica necesariamente una comunicación o cesión de datos.

La comunicación de datos está regulada en el artículo 11 de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal, y se prevé dentro de su apartado prime-ro que los datos de carácter personal objeto del tratamiento sólo podrán ser comu-nicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado, salvo que una Ley prevea otra cosa.

A la vista de la regulación anterior será por tanto necesario para que los propietarios puedan obtener el listado de vecinos que cada uno de éstos haya sido informado de esta posibilidad y haya expresado su consentimiento en este sentido.

Si en los Estatutos (o en una Ley) no se prevé esta posibilidad es necesario señalarle, que de conformidad con lo previsto en el artículo 5 de la LOPD, si los datos de los ve-cinos son objeto de tratamiento en una base de datos y han sido cedidos a los demás propietarios, debería poder acreditarse que cada uno de los propietarios ha sido in-formado previamente y ha dado su consentimiento.

A la vista de dicho precepto y en relación con su consulta se le indica que el hecho de formar parte de la Comunidad de vecinos indicada implica el consentimiento de aceptación de su Estatuto y si en el mismo se prevé la posibilidad de que cualquier vecino que lo solicite pueda disponer de un listado de los mismos, el hecho de que se le facilite será legitimo.

Lo que habrá que tener en cuenta es el contenido del listado que se prevé en los Es-tatutos ya que en principio el facilitar datos distintos del nombre y apellidos y direc-ción podría ser una información excesiva.

• ¿Tengo derecho a exigir la aplicación de la ley Orgánica 15/1999 para proteger mis datos y que los representantes de los trabajadores no puedan acceder a mis datos personales, como nº de ficha, nombre y apellidos y nº de horas extra que realizo?

68

An

exo.

Pre

gu

nta

s Fr

ecu

ente

s Respecto a la legalidad de entregar datos de los trabajadores a sus representantes, se indica que el artículo 11.1 relativo a la comunicación de datos, establece con carácter general que los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el pre-vio consentimiento del interesado.

En el apartado 2 de dicho artículo 11 se prevén las excepciones a la necesidad del consentimiento para que la cesión de datos pueda ser efectiva y así se establece que nos será necesario dicho consentimiento Cuando la cesión está autorizada en una Ley.

A nuestro juicio si el supuesto planteado por Vd. no se encuentra en ninguna de las excepciones anteriores (salvo lo que establezcan las leyes sectoriales al respec-to) no se deben facilitar datos personales de los trabajadores.

• He estado de vacaciones en un Hotel y me han presentado un documento a firmar en el que se informa que mis datos personales van a ser cedidos a la policía ¿Es eso legal?

El artículo 6.1 de la Ley Orgánica dispone que “El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa”.

Del mismo modo, en cuanto a la cesión, el artículo 11.1 dispone que “Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un ter-cero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesa-do”. No obstante este consentimiento no será necesario” Cuando la cesión está autorizada en una Ley” (artículo 11.2 a).

Por este motivo, el tratamiento de los datos mencionados y su comunicación a las Fuerzas y Cuerpos de Seguridad se encuentra amparado por lo establecido en los artículos 6.1 y 11.2 a) de la Ley Orgánica 15/1999, dado que existe una norma con rango de Ley que da cobertura al tratamiento y cesión de los datos (el artículo 45.1 del Convenio de Schengen y el artículo 12 de la Ley Orgánica 1/1992, de 21 de febrero, de seguridad privada).

• ¿Puedo utilizar los datos personales de alguien para remitirle publicidad? ¿Se pueden crear o comprar bases de datos de personas físicas para utilizarlos con fines de publicidad? ¿Y si los datos provienen de las guías telefónicas o de los listados de colegios profesionales?

El artículo 6 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, señala que:

“El tratamiento de los datos de carácter personal requerirá el consentimiento in-equívoco del afectado, salvo que la Ley disponga otra cosa.

No será preciso el consentimiento cuando los datos de carácter personal se reco-jan para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o

69

An

exo.P

regu

ntas frecu

entes

precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7, apar-tado 6, de la presente Ley, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado.

El consentimiento a que se refiere el artículo podrá ser revocado cuando exista causa justificada para ello y no se le atribuyan efectos retroactivos.

En los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de los datos de carácter personal, y siempre que una Ley no disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En tal supuesto, el responsable del fichero excluirá del tratamiento los datos relativos al afectado.’”

Por su parte, por fuente accesible al público hay que entender de acuerdo con la definición contenida en el artículo 3 de la Ley Orgánica 15/1999 “aquellos ficheros cuya consulta puede ser realizada por cualquier persona, no impedida por una norma limitativa, o sin más exigencia que, en su caso, el abono de una contraprestación. Tienen la consideración de fuentes de acceso público, exclusivamente, el censo pro-mocional, los repertorios telefónicos en los términos previstos por su normativa espe-cífica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, direc-ción e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público, los Diarios y Boletines oficiales y los medios de comunicación.’”

Por lo tanto, para tratar datos personales debe tenerse previamente el consentimien-to (expreso o tácito, pero siempre inequívoco) de sus titulares, salvo que se dé alguna de las excepciones previstas en el artículo 5. Si los datos figuran en fuentes accesibles al público (como las guías telefónicas o los listados de colegios profesionales) es posi-ble su tratamiento sin el consentimiento de los titulares de los datos.

• ¿Es legal el tratamiento de los datos que figuran en el Padrón Municipal de Habit-antes o en el Censo Electoral?

Con carácter general la regulación está contenida en la Ley 4/1996, de 10 de enero, que modifica la Ley 7/1985, de 2 de abril, de Bases del Régimen Local en relación con el Padrón Municipal. En concreto el artículo 16 prevé lo siguiente:

“El Padrón municipal es el registro administrativo donde constan los vecinos de un municipio. Sus datos constituyen prueba de la residencia en el municipio y del domi-cilio habitual en el mismo. Las certificaciones que de dichos datos se expidan tendrán carácter de documento público y fehaciente para todos los efectos administrativos.

La inscripción en el Padrón municipal contendrá como obligatorios sólo los siguientes datos:

Nombre y apellidos.

Sexo.

70

An

exo.

Pre

gu

nta

s Fr

ecu

ente

s Domicilio habitual.

Nacionalidad.

Lugar y fecha de nacimiento.

Número de documento nacional de identidad o, tratándose de extranjeros, del documento que lo sustituya.

Certificado o título escolar o académico que se posea.

Cuantos otros datos puedan ser necesarios para la elaboración del Censo Elector-al, siempre que se garantice el respeto a los derechos fundamentales reconocidos en la Constitución.

Los datos del Padrón municipal se cederán a otras Administraciones Públicas que lo soliciten sin consentimiento previo del afectado solamente cuando les sean necesarios para el ejercicio de sus respectivas competencias, y exclusivamente para asuntos en los que la residencia o el domicilio sean datos relevantes. Tam-bién pueden servir para elaborar estadísticas oficiales sometidas al secreto es-tadístico, en los términos previstos en la Ley 12/1989, de 9 de mayo, de la Función Estadística Pública.

Fuera de estos supuestos, los datos del Padrón son confidenciales y el acceso a los mismos se regirá por lo dispuesto en la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal y en la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común.”

Respecto de la utilización de los datos del censo electoral, el artículo 41.2. de la Ley Orgánica 5/1985, de 19 de junio, de Régimen Electoral General establece que queda prohibida cualquier información particularizada sobre los datos person-ales contenidos en el censo electoral, a excepción de los que se soliciten por con-ducto judicial.

Por ello, un uso distinto de los datos censales del padrón municipal o del censo electoral ocasionaría un incumplimiento de la Ley Orgánica 15/1999.

5. DERECHOS DE LOS AFECTADOS• Nos gustaría saber si la publicación de los resultados de nuestros exámenes

(exposición en la puerta del aula de un listado con el nombre y apellidos de los alumnos y la calificación obtenida), vulnera de alguna manera la ley de protec-ción de datos.

La publicación de las calificaciones de los alumnos en los tablones de anuncios de la Universidad, no queda amparado en los supuestos de procesos selectivos, sino ante una forma de comunicación y/o traslado de las notas de calificación cor-respondientes a cada asignatura, que tienen como destinatario únicamente a los alumnos afectados, anotándose –a su vez- en su expediente académico.

La difusión de dichas notas de calificación a través de los tablones de anuncios

71

An

exo.P

regu

ntas frecu

entes

de la Universidad, constituirá una cesión de datos de carácter personal de los alum-nos autorizada por una norma con rango de ley formal, en virtud de la Ley Orgánica 4/2007 de Universidades, que en su disposición adicional vigésimo primera, en el punto 3, señala ”no será preciso el consentimiento de los estudiantes para la publi-cación de los resultados de las pruebas relacionadas con la evaluación de sus cono-cimientos y competencias ni de los actos que resulten necesarios para la adecuada realización y seguimiento de dicha evaluación”.

• Mi consulta va referida a si tiene un ayuntamiento potestad para publicar en tablón de anuncios los consumos de agua de sus vecinos.

El hecho de hacer públicos los nombres de personas físicas en tablones de anun-cios podría implicar un tratamiento de datos en los términos que la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal lo considera, dado que según la definición regulada en dicha Ley, por tratamiento de datos hay que entender aquellas operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancel-ación, así como las cesiones de datos que resulten de comunicaciones, consultas, in-terconexiones y transferencia.

No obstante si la exposición pública de los datos viene regulada en una Ley, es per-fectamente lícita. (En periodo de elecciones a representantes sindicales, la ley per-mite esa exposición pública).

Los titulares de los datos personales pueden instar la oposición al tratamiento, au-tomatizado o no, de sus datos, de conformidad con lo previsto en el artículo 6.4 de la Ley Orgánica 15/1999.

Si en el plazo de un mes no recibe contestación o esta es insatisfactoria, puede rec-lamar ante esta Agencia Española de Protección de Datos, acompañando la docu-mentación acreditativa de haber solicitado la oposición al tratamiento de datos ante la entidad que se trate.

• Aparezco en Internet, en unos listados de la Administración pública, como partici-pante de unas pruebas, entiendo que es normal que aparezca mi nombre y apel-lido ¿pero el DNI?

Internet no es una fuente accesible al público según la Ley Orgánica 15/1999 (LOPD). La publicación de datos personales en Internet constituye un tratamiento automati-zado de datos personales. Por ello, se requiere el previo consentimiento de los titu-lares de los datos para esa publicación, salvo que los datos figuren, a su vez, en fuentes accesibles al público (como los Boletines Oficiales).

La información general que no contenga datos personales puede ser publicada en Internet sin ninguna traba.

Los titulares de los datos personales pueden instar la oposición al tratamiento, au-tomatizado o no, de sus datos, de conformidad con lo previsto en el artículo 6.4 de la Ley Orgánica 15/1999.

Si en el plazo de un mes no recibe contestación o esta es insatisfactoria, puede rec-lamar ante esta Agencia Española de Protección de Datos, acompañando la docu-

72

An

exo.

Pre

gu

nta

s Fr

ecu

ente

s mentación acreditativa de haber solicitado la oposición al tratamiento de datos ante la entidad que se trate.

• ¿Cómo puedo conseguir que eliminen mis datos de los ficheros de las empre-sas que me remiten publicidad continuamente a mi casa? ¿Cómo puedo elimi-nar mis datos de un fichero de morosidad en el que estoy incluido? La empresa de luz me remite a mi domicilio un recibo que contiene un error en uno de los números del DNI. ¿Puedo exigir que me lo modifiquen?

El titular de los datos puede ejercitar su derecho de cancelación o rectificación mediante escrito dirigido al responsable del fichero de la entidad de que se trate. La Agencia Española de Protección de Datos no tiene los datos personales de los ciudadanos.

El ejercicio del derecho de cancelación o rectificación es personalísimo, lo que significa que el titular de los datos deberá dirigirse directamente a dicha entidad, utilizando cualquier medio que permita acreditar el envío y la recogida de su so-licitud, para el ejercicio de sus derechos, acompañando copia de su D.N.I.

Vd. debe dirigirse a la dirección del responsable del fichero y solicitar allí la can-celación pretendida. Si desconoce esa dirección, puede solicitarla a la Agencia Española de Protección de Datos.

Si en el plazo de 10 días no recibe contestación o ésta es insatisfactoria, puede reclamar ante esta Agencia Española de Protección de Datos, acompañando la documentación acreditativa de haber solicitado la cancelación de datos ante la entidad que se trate.

• Necesito saber cómo ha obtenido mis datos una empresa que me ofrece un seguro de vida para mí y mi familia, sin que yo le haya proporcionado ningún dato mío o de mis familiares. ¿Qué tengo que hacer?

La legislación vigente en materia de protección de datos (Ley Orgánica 15/1999), reconoce una serie de derechos a los ciudadanos, como son el derecho de acceso, rectificación y cancelación de sus datos personales. El ejercicio de los mismos es personalísimo, y debe, por tanto, ser ejercido directamente por los interesados ante cada uno de los responsables/titulares de los ficheros automatizados, lo que significa que Vd. puede dirigirse a cada una de las empresas u organismos pú-blicos, de los que sabe o presume que tienen sus datos, solicitando información sobre qué datos tienen y cómo los han obtenido (derecho de acceso), la rectifi-cación de los mismos, o en su caso, la cancelación de los datos en sus ficheros (derecho de cancelación). En este caso, deberá dirigirse directamente al responsa-ble del fichero en donde se encuentren sus datos personales, utilizando cualquier medio que permita acreditar el envío y la recogida de su solicitud para el ejercicio de sus derechos, acompañando copia de su D.N.I. e indicando el fichero o ficheros a consultar.

Si en el plazo de un mes para el derecho de acceso desde la recepción de la so-licitud en la oficina referida, ésta no ha sido atendida adecuadamente, podrá diri-girse a la Agencia con copia de la solicitud cursada y de la contestación recibida

73

An

exo.P

regu

ntas frecu

entes

(si existiera), para que ésta a su vez se dirija a la oficina designada con el objetivo de hacer efectivo el ejercicio de sus derechos.

En el caso expuesto, podrá acceder a la información pretendida si se trata de informa-ción sobre sus datos personales, pero no si se trata de información de terceros.

Efectivamente, el derecho de acceso no puede ser ejercitado en intervalos inferiores a 12 meses, salvo que se acredite un interés legitimo.

• Mantengo una relación contractual con una empresa que me proporciona ciertos servicios que me interesan. Sin embargo, dicha empresa me remite información de otros productos que no quiero que me envíen ¿Me ampara la LOPD?

Los titulares de los datos pueden instar la oposición al tratamiento automatizado de ese tipo de datos, de conformidad con lo previsto en el artículo 6.4 de la Ley Orgánica 15/1999, de 13 de diciembre, que establece:

“…En los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de los datos de carácter personal, y siempre que una Ley no disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En tal supuesto, el responsable del fichero excluirá del tratamiento los datos relativos al afectado.”

6. DATOS ESPECIALMENTE PROTEGIDOS• La consulta plantea si el dato relativo al hecho de que un determinado alumno de

un centro docente opta por cursar la asignatura de religión o la alternativa prevista por la Ley ha de ser considerado como dato especialmente protegido a los efectos previstos en la Ley Orgánica 15/1999.

El artículo 7.2 de la Ley Orgánica 15/1999 dispone que “sólo con el consentimien-to expreso y por escrito del afectado podrán ser objeto de tratamiento los datos de carácter personal que revelen la ideología, afiliación sindical, religión y creencias”, prohibiendo el artículo 7.4 “los ficheros creados con la finalidad exclusiva de alma-cenar datos de carácter personal que revelen la ideología, afiliación sindical, religión, creencias, origen racial o étnico, o vida sexual”.

De este modo, ha de considerarse que los datos a los que se refiere el artículo citado son aquéllos que efectivamente se encuentran directamente vinculados con las ver-daderas creencias religiosas, filosóficas, políticas o morales de la persona, protegidas constitucionalmente a través del derecho fundamental a la libertad ideológica, re-ligiosa y de culto.

Pues bien, el hecho mismo de cursar la asignatura de religión no revela necesaria-mente que el estudiante profese las creencias a las que tal asignatura se refiere, del mismo modo que el hecho de no cursarla no revela la inexistencia de esas creencias, sino que tal circunstancia puede deberse al estudio de la religión en otros foros dis-tintos del escolar. Es decir, a nuestro juicio, lo único que revela el dato de optar por cursar la asignatura de religión sería el interés del alumno por conocer los principios, historia y preceptos de la misma, sin que ello implique una efectiva confesionalidad

74

An

exo.

Pre

gu

nta

s Fr

ecu

ente

s del mismo, a cuya declaración no podría encontrarse obligado.

• ¿Puede una empresa pedirme los antecedentes penales durante el proceso de selección de personal?

El artículo 2, apartado 3, de la Ley Orgánica 15/1999, de 13 de diciembre, de pro-tección de datos de carácter personal (LOPD), señala que los datos derivados del Registro Civil y del Registro Central de penados y rebeldes , relativo a los ante-cedente penales, queda al margen de la aplicación de la Ley Orgánica 15/1999. Asimismo, dichos datos no se encuentran registrados en este Organismo, sino en el Registro Central habilitado al efecto.

No obstante, se le informa que las empresas privadas no pueden tener ficheros con datos de carácter personal relativos a la comisión de infracciones penales o administrativas, ya que éstos solamente podrán ser incluidos en ficheros de las Administraciones Públicas competentes en los supuestos previstos en las respec-tivas normas reguladoras (Articulo 7.5 de la LOPD).

• ¿Se consideran datos sobre la salud de los trabajadores, los informes de las revisiones médicas anuales que las empresas están obligadas a efectuar según la Ley de Prevención de Riesgos Laborales, aún cuando no es la empresa obli-gada a proporcionar estas revisiones quien las efectúa (la ley establece obliga-toriedad de que lo haga una Mutua o el propio INSS), y cuando tan solo recibe un informe de aptitud (o inaptitud) de aquella a quien subcontrate?

Entendemos que la calificación de aptitud o no viene derivada de los recono-cimientos médicos resultado de la aplicación de la Ley 31/1995, de 8 de noviem-bre, de Prevención de riesgos laborales.

En estos supuestos, el hecho de que el empresario y las personas u órganos con responsabilidades en materia de prevención sean informados de las conclusiones que se deriven de los reconocimientos efectuados en relación con la aptitud del trabajador para el desempeño del puesto de trabajo, no será considerado un dato de salud.

No obstante si “los datos de apto o no apto” no aparecen aislados sino asociados a otros que motiven su calificación, como por ejemplo, una situación de minusvalía o enfermedad crónica que motiven una adaptación del puesto de trabajo, sin lu-gar a dudas, será considerado un dato de salud.

• ¿Han de ser considerados datos de salud los relativos a la enfermedad común y accidente profesional?

Es criterio reiterado de esta Agencia que en cuanto el fichero pueda contener da-tos relativos a las fechas de baja o alta de trabajadores, asociadas a un código que permita la identificación de la causa de la baja como motivada por enfermedad común, profesional o maternidad, estaremos en presencia de un dato de salud que implicará la necesidad de aplicar a dicho fichero medidas de seguridad de nivel alto.

No sería así, por ejemplo, si figuran únicamente las fechas y la indicación de “baja” u otros supuestos análogos de los que no pueda fácilmente deducirse que la baja

75

An

exo.P

regu

ntas frecu

entes

se debe a algún tipo de enfermedad.

• ¿Es legal tratar datos de salud de personas físicas?

El artículo 8 de la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal, establece y regula los datos relativos a la salud señalando que sin perjuicio de lo que se dispone en el artículo 11 respecto de la cesión, las instituciones y los centros sani-tarios públicos y privados y los profesionales correspondientes podrán proceder al tratamiento de los datos de carácter personal relativos a la salud de las personas que a ellos acudan o hayan de ser tratados en los mismos, de acuerdo con lo dispuesto en la legislación estatal o autonómica sobre sanidad.

Fuera de estos casos, es preciso el consentimiento expreso de los titulares de los da-tos o la existencia de una Ley que permita el tratamiento de dichos datos.

• ¿Se considera dato especialmente protegido el relativo a la aportación, en el IRPF, de un contribuyente a la Iglesia Católica? ¿Y los relativos a la minusvalía y a la afili-ación sindical?

Se plantea en esta consulta si la inclusión en los ficheros de datos relacionados con la opción del contribuyente de contribuir al sostenimiento de la Iglesia Católica es un dato relacionado con la ideología, religión o creencias del afectado.

El Artículo 81 del Reglamento que desarrolla la LOPD, aprobado por Real Decreto 1720/2007, de 21 de diciembre, dispone que Los ficheros que contengan datos rela-tivos a la ideología, religión, creencias, origen racial, salud o vida sexual deberán re-unir, además de las medidas de nivel básico y medio, las calificadas de nivel alto. Si los ficheros incluyen valoraciones que permitan elaborar evaluaciones sobre la person-alidad de las personas físicas, entonces el nivel de seguridad será medio. Si entre esas valoraciones se incluye información sobre ideología, religión, creencias, origen racial, salud o vida sexual, el nivel de protección será el alto. Si no concurre ninguno de los anteriores supuestos, el nivel de protección será el básico.

Igualmente, el nivel es básico si los datos están en ficheros no automatizados y se almacenan datos especialmente protegidos de manera incidental o accesoria sin guardar relación con su finalidad. En estos casos se encuadran los relativos al enunci-ado de la pregunta, es decir, la aportación, en el IRPF, de un contribuyente a la Iglesia Católica y los relativos a la minusvalía y a la afiliación sindical cuando están incluidos en el fichero de manera accidental o accesoria.

• ¿Qué se entiende por datos de salud? El dato de que una persona es fumadora ¿entra dentro del concepto de dato de salud?

Por lo que se refiere a los datos de salud, deberá partirse del concepto que quepa dar a los mismos, a partir de las normas, nacionales e internacionales, vigentes en España.

La norma esencial en la protección de datos automatizados de carácter personal en nuestro país es la Ley Orgánica 15/1999. Sin embargo esta norma, si bien se refiere expresamente a los datos de salud, considerándolos expresamente protegidos y lim-itando la posibilidad de su recopilación y cesión, no establece un concepto concreto de este tipo de datos.

76

An

exo.

Pre

gu

nta

s Fr

ecu

ente

s El apartado 45 de la Memoria Explicativa del Convenio 108 del Consejo de Eu-ropa viene a definir la noción de “datos de carácter personal relativos a la salud”, considerando que su concepto abarca ‘“as informaciones concernientes a la salud pasada, presente y futura, física o mental, de un individuo”, pudiendo tratarse de informaciones sobre un individuo de buena salud, enfermo o fallecido. Añade el citado apartado 45 que “debe entenderse que estos datos comprenden igual-mente las informaciones relativas al abuso del alcohol o al consumo de drogas”.

En este mismo sentido, la Recomendación nº R (97) 5, del Comité de Ministros del Consejo de Europa, referente a la protección de datos médicos, afirma que “la expresión datos médicos hace referencia a todos los datos de carácter personal relativos a la salud de una persona. Afecta igualmente a los datos manifiesta y es-trechamente relacionados con la salud, así como con las informaciones genéticas”.

De lo anteriormente señalado se puede desprender, en principio, que los datos indicados por Vd. en la medida en que pueden ser datos relacionados con la salud serán datos médicos y les será de aplicación las medidas de protección de nivel alto, tal y como establece el artículo 4 del Reglamento de Medidas de Seguri-dad de los Ficheros Automatizados que contengan Datos de Carácter Personal aprobado por Real Decreto 994/1999, de 11 de junio.

Ahora bien, dado que su consulta se plantea solamente en los términos de que si el dato de que una persona fume o no fume se puede considerar dato de salud, habrá que estarse al contexto en el que se encuentra dicha anotación y la finalidad para la que se usa. Es evidente que no es lo mismo anotar en un fichero de control de pasajeros y billetes la condición o no de fumador de una persona (porque no se van a realizar posteriores evaluaciones médicas del mismo) que anotar dicha condición en un fichero de seguros de vida, en el que dicha anotación no va ais-lada, sino junto con otros datos de salud. En uno y otro caso, las finalidades para las que se va a usar esa anotación son diferentes.

Si el dato de fumador o no fumador no sirve para realizar evaluaciones de salud o médicas, en principio, no parece que sea dato de salud, ya que, aunque sea un dato de riesgo potencial para la salud, no informa por sí solo del estado de salud / pasado, presente o futuro - de la persona. En caso contrario, sí será un dato de salud.

7. INSCRIPCIÓN DE FICHEROS• ¿Cómo se inscriben, modifican o suprimen los ficheros de mi empresa?

El concepto de fichero esta descrito en el artículo 3.b) de la Ley Orgánica 15/1999, de 13 de diciembre, según el cual, se define el fichero como “todo conjunto organ-izado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso”.

En consecuencia, Vd. debe inscribir en el Registro General de Protección de Datos todos los ficheros que contengan datos de carácter personal (por ejemplo: fichero pacientes, fichero informes, fichero nóminas, fichero clientes, etc.).

77

An

exo.P

regu

ntas frecu

entes

Dichos ficheros deben ser inscritos en el Registro General de Protección de Datos a nombre de cada uno de los responsables y conforme al formulario disponible de forma gratuita en la web de la Agencia.

Tanto para inscribir, como para suprimir o modificar la inscripción de un fichero en el Registro General de Protección de Datos, se deberá cumplimentar el modelo establ-ecido en la Resolución de 12 de julio de 2006, de la Agencia Española de Protección de Datos, por la que se aprueban los formularios electrónicos a través de los que deberán efectuarse las solicitudes de inscripción de ficheros en el Registro General de Protección de Datos, así como los formatos y requerimientos a los que deben ajus-tarse las notificaciones remitidas en soporte informático o telemático.

El formulario electrónico de NOtificaciones Telemáticas a la AEPD (NOTA) permite la presentación de notificaciones a través de Internet con certificado de firma electróni-ca reconocido. Dicho formulario interactivo, en formato PDF, se encuentra disponible en la página web de la Agencia (www.agpd.es).

Mediante este sistema de notificación se pueden realizar notificaciones de forma simplificada mediante notificaciones tipo precumplimentadas. Esta opción del for-mulario electrónico permite notificar de forma simplificada una serie de ficheros de titularidad privada relacionados con la gestión de comunidades de propietarios, cli-entes, libro recetario de las oficinas de farmacia, historial clínico, nóminas y recursos humanos.

Cualquier modificación posterior en el contenido de la inscripción de un fichero en el RGPD, deberá comunicarse a la Agencia Española de Protección de Datos, mediante la solicitud de modificación o de supresión de la inscripción, según corresponda.

Para modificar la inscripción de un fichero, previamente inscrito en el RGPD, deberá cumplimentar el formulario electrónico, la hoja de solicitud, el apartado de Modifi-cación de la inscripción del fichero, indicando el código de inscripción asignado por la Agencia y señalando aquellos apartados que se modifican respecto a la notificación anterior, según las instrucciones que acompañan al modelo.

Los apartados señalados que pretendan modificar deben cumplimentarse por com-pleto, indicando todos los datos y no sólo los modificados respecto a notificaciones previas, ya que esta notificación es sustitutiva a efectos de inscripción en el RGPD. Así mismo, únicamente se cumplimentarán los apartados que hayan sido señalados para su modificación en el apartado Modificación de la inscripción del fichero.

En el caso de que notifique la supresión de un fichero, deberá cumplimentar, del modelo de notificación, la hoja de solicitud y el apartado de Supresión, indicando el código de inscripción del fichero asignado por la Agencia. También deberá indicar el motivo de la supresión en el texto correspondiente, y el destino de la información en el siguiente campo. Si va a proceder a destruir el fichero, deberá indicar las previ-siones adoptadas para ello.

La notificación de un nuevo fichero o tratamiento nunca invalida o sustituye a una in-scripción previa. Si no se notifica una solicitud de supresión de la inscripción anterior se produciría un duplicado de la inscripción.

78

An

exo.

Pre

gu

nta

s Fr

ecu

ente

s • ¿Debo obligatoriamente inscribir los ficheros manuales o en papel (listados, fichas, etc…)?

El soporte papel (como son los listados o las fichas) entra dentro de la definición de soportes físicos en general.

Desde octubre del año 2007 es obligatoria la inscripción de ficheros manuales o en soporte papel, cualquiera que fuera su fecha de creación.

8. MEDIDAS DE SEGURIDAD• ¿Qué se quiere decir en el Reglamento de desarrollo de la LOPD (Real Decreto

1720/2007, de 21 de diciembre), con la expresión será preciso guardar la infor-mación que permita identificar el registro accedido?

De conformidad con lo dispuesto en el artículo 103 del Reglamento de desarrollo de la LOPD, para cada acceso deberán guardarse, como mínimo, la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de ac-ceso y si ha sido autorizado o denegado. En el caso de que el acceso haya sido autorizado, será preciso guardar la información que permita identificar el registro accedido.

De lo expuesto se deduce que el registro de accesos se refiere, en primer lugar al fichero y dentro del fichero, a los distintos registros accedidos (es decir, a los con-cretos datos personales que se consultan).

• ¿Los empleados de un banco pueden acceder libremente a todos los datos que figuran en las Bases de datos del banco?

El artículo 91 del Reglamento de desarrollo de la LOPD, relativo al control de ac-ceso, establece que:

“1.- Los usuarios tendrán acceso únicamente a aquellos recursos que precisen para el desarrollo de sus funciones.

2.- El responsable del fichero se encargará de que exista una relación actualizada de usuarios y perfiles de usuarios y los accesos autorizados para cada uno de ellos.

3.- El responsable del fichero establecerá mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados.

4.- Exclusivamente el personal autorizado para ello en el documento de seguridad podrá conceder, alterar o anular el acceso autorizado sobre los recursos, conforme a los criterios establecidos por el responsable del fichero.”

5.- En caso de que exista personal ajeno al responsable del fichero que tenga ac-ceso a los recursos deberá estar sometido a las mismas condiciones y obligaciones de seguridad que el personal propio.”

En consecuencia, los accesos de los trabajadores de una entidad financiera a las bases de datos deben estar previamente autorizados por el responsable del fich-ero.

79

An

exo.P

regu

ntas frecu

entes

• El hecho de que una persona alquile películas pornográficas en un vídeo club ¿Es suficiente para considerar que el fichero debe incluir el nivel de seguridad alto?

El artículo 81 del Reglamento de desarrollo de la LOPD, señala que:

“1.- Todos los ficheros que contengan datos de carácter personal deberán adoptar las medidas de seguridad calificadas como de nivel básico.

2.- Los ficheros que contengan datos relativos a la comisión de infracciones admin-istrativas o penales, Hacienda Pública, servicios financieros y aquellos ficheros cuyo funcionamiento se rija por el artículo 28 de la Ley Orgánica 5/1992, deberán reunir, además de las medidas de nivel básico, las calificadas como de nivel medio.

3.- Los ficheros que contengan datos de ideología, religión, creencias, origen racial, salud o vida sexual así como los que contengan datos recabados para fines policiales sin consentimiento de las personas afectadas deberán reunir, además de las medidas de nivel básico y medio, las calificadas como de nivel alto.

4.- Cuando los ficheros contengan un conjunto de datos de carácter personal sufi-cientes que permitan obtener una evaluación de la personalidad del individuo de-berán garantizar las medidas de nivel medio establecidas en los artículos 17, 18, 19 y 20.

5.- Cada uno de los niveles descritos anteriormente tienen la condición de mínimos exigibles, sin perjuicio de las disposiciones legales o reglamentarias específicas vi-gentes.”

Por ello, si los ficheros incluyen valoraciones que permitan elaborar evaluaciones so-bre la personalidad de las personas físicas, entonces el nivel de seguridad será medio. Si entre esas valoraciones se incluye información sobre ideología, religión, creencias, origen racial, salud o vida sexual, el nivel de protección será el alto.

Si no concurre ninguno de los anteriores supuestos, el nivel de protección será el básico.

El mero hecho de alquilar películas pornográficas no presupone dato de orientación sexual. Otra cosa, es que el responsable del fichero incluya en el mismo valoraciones subjetivas que así lo indiquen.

9. TRANSFERENCIAS INTERNACIONALES• ¿Se considera dentro del ámbito de aplicación de la LOPD revelar datos de carácter

personal en una página web?

De acuerdo con la definición de tratamiento de datos prevista en el artículo 3 c) de la LOPD, hacer referencia en una página web a una persona e identificarla por su nom-bre o por otros medios, como su número de teléfono o información relativa a sus con-diciones de trabajo y a sus aficiones, constituye un tratamiento de datos de carácter personal, siendo necesario cumplir las previsiones establecidas en la Ley.

Lo que acaba de indicarse ha sido ratificado, en cuanto a la existencia de un tratami-ento de datos de carácter personal por la Sentencia del Tribunal de Justicia de las

80

An

exo.

Pre

gu

nta

s Fr

ecu

ente

s Comunidades Europeas, de 6 de noviembre de 2003 (CASO LINDQVIST).

• ¿Qué países pueden considerarse con un nivel de protección equiparable a España?

Se consideran países con nivel de protección adecuado al que presta la Ley Orgáni-ca 15/1999, los Estados Miembros de la Unión Europea, Islandia, Liechtenstein, Noruega y los Estados que la Comisión Europea ha declarado que garantizan un nivel de protección adecuado: Suiza, Argentina, Guernsey, Isla de Man, las enti-dades estadounidenses adheridas a los principios de «Puerto Seguro», Canadá respecto de las entidades sujetas al ámbito de aplicación de la ley canadiense de protección de datos y los datos personales incluidos en los registros de nombres de los pasajeros que se transfieren al Servicio de aduanas y protección de fronte-ras de los Estados Unidos de América.

• ¿Puede la empresa donde trabajo enviar datos de sus trabajadores a Estados Unidos?

En primer lugar indicarle que cualquier empresa que pretenda realizar una trans-ferencia internacional de datos, en este caso de sus empleados, que con anteri-oridad no venía realizando, deberá de cumplir, por una parte, con el derecho de información previsto en el artículo 5 de la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal, debiendo informar de la transferencia internacional a cada una de las personas afectadas por los datos.

Por otra parte, tal y como se establece en el artículo 26 de la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal, y en los artículos 55, 58, 66 y ss del Reglamento de desarrollo de la Ley Orgánica de Protección de Datos de Carácter Personal, aprobado por el Real Decreto 1720/2007, de 21 de diciembre, BOE de 19 de enero de 2008 (RLOPD ) se deberá comunicar a la Agencia Española de Protec-ción de Datos las transferencias internacionales que se vayan a realizar, dado que, con carácter general, todas las trasferencias internacionales necesitan de la au-torización del Director de la Agencia, salvo que se den alguna de las excepciones previstas en el artículo 34 de la Ley Orgánica 15/1999.

Se le informa por último que, toda la normativa en materia de protección de datos la tiene disponible a través del apartado legislación del menú principal de nuestra página Web.

• Si los datos recogidos por una filial española de una multinacional alemana, cumpliéndose todos los requisitos de recogida de datos de la LOPD, se ceden a la matriz en Alemania, ¿Qué responsabilidad tiene la filial española si la matriz alemana utiliza los datos de forma fraudulenta de acuerdo a la legislación es-pañola?

En primer lugar, es necesario señalarle que desde el momento en que se están recogiendo y tratando informáticamente en ficheros, cualquier tipo de datos de carácter personal por parte de empresas ubicadas en España, pertenezcan o no a multinacionales, dicho tratamiento está sometido a la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal, y los ficheros de datos que se creen

81

An

exo.P

regu

ntas frecu

entes

están sometidos al ámbito de aplicación de dicha Ley Orgánica, debiendo ser previa-mente comunicados al Registro General de Protección de Datos y adoptándose en ellos las medidas de seguridad correspondientes, de conformidad con lo previsto en el Reglamento de desarrollo de la LOPD aprobado por Real Decreto 1720/2007, de 21 de diciembre (RLOPD).

Una vez realizada la cesión, de conformidad con las disposiciones anteriores, el tratamiento de datos que se realice en Alemania se regulara de conformidad con la legislación alemana y no con la legislación española, aunque, al pertenecer ambos países a la Unión Europa, el nivel de protección será similar en base a la adaptación a la Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

DNTecnologias.esFaisanes 14, 4º41004 Sevi l la

MANUAL LOPD - privado.icagr.esprivado.icagr.es/privado/manuales/Manual para abogados 3_v1.pdf ·...

Documents

Transcript of MANUAL LOPD - privado.icagr.esprivado.icagr.es/privado/manuales/Manual para abogados 3_v1.pdf ·...