1
TEMA 2 PRINCIPIOS DE LA PROTECCIÓN DE DATOS 2. Datos de carácter personal. Principios de la protección de datos 1. La calidad de los datos Antes de hablar de este principio, vamos a definir el concepto de dato. La LOPD, en su artículo 3, define el concepto de dato de carácter personal como "cualquier información concerniente a personas físicas identificadas o identificables". Por tanto, se entiende por dato de carácter personal cualquier información sobre una persona determinada que permita conocer sus característica personales. Al hablar de información debemos concretar a que nos referimos. Se puede convenir que información es todo dato o conjunto de datos que transmiten un conocimiento entre un emisor y un receptor en un proceso denominado comunicación. La noción sobre la que se basa el concepto de información es el dato (o conjunto de datos), y ello es lógico ya que la información está en el dato que hace perceptible el concepto. A su vez, la Real Academia de la Lengua Española define dato como "el antecedente necesario para llegar al conocimiento exacto de una cosa o para deducir las consecuencias legítimas de un hecho". La LOPD establece en su artículo 4 unos principios generales de calidad de los datos, en concreto: - Los datos personales deben adecuarse a la finalidad para la que fueron recabados, de modo que no se podrán usar datos de carácter personal para fines incompatibles con aquellos para los que fueron recogidos. Esto significa que podrán ser recabados para su tratamiento cuando sean adecuados, pertinentes, y no excesivos en relación al ámbito y finalidades explícitas para las que se hayan recogido. Si la finalidad del tratamiento varía, será necesario proceder a la cancelación de los mismos (un ejemplo sería el de la recogida de datos para la participación en un sorteo. Una vez celebrado el mismo los datos deberán ser cancelados y no utilizados para otras finalidades diferentes).
2
De ahí deriva la importancia de indicar, en las cláusulas de informaci6n, todas las posibles finalidades a las que se van a destinar los datos que son recabados. La utilización no abusiva de los datos impide que estos se utilicen para finalidades diferentes de aquellas para las que fueron recogidos, aunque el tratamiento posterior de los datos con fines históricos, estadísticos o científicos no se considera una finalidad incompatible. - Deben ser exactos y actualizados, de forma que respondan verazmente a la situación actual del afectado. Ello no significa que las empresas deban mantener exactos los datos cuando no tengan medios para conocer la exactitud/ veracidad de los datos, pero si tienen el conocimiento de la inexactitud de algún dato si deben proceder a actualizarlo. Esta rectificación se va a poder realizar de oficio por el responsable del fichero o bien a través del ejercicio del derecho de rectificación por parte del interesado. Mencionar al respecto, que el primer interesado en que los datos sean exactos y actualizados es el responsable del fichero, ya que éste los ha recabado para cumplir con una finalidad concreta de su actividad o trabajo, por tanto, si los datos no son correctos carecen de utilidad. En el caso concreto de los datos que hubiesen sido obtenidos de las fuentes de acceso público (repertorios telefónicos, boletines oficiales, etc.) no será responsabilidad del responsable del tratamiento comprobar si los datos publicados en dichas fuentes son exactos o veraces, aunque en caso de conocimiento de dicha inexactitud deberá proceder a su actualización. - No deben mantenerse indefinidamente, a no ser que exista justificación para ello, por lo que en caso de no necesidad deben ser cancelados. Los datos personales se conservarán de forma que se permita el ejercicio del derecho de acceso, excepto cuando hayan sido legalmente cancelados. Se entiende por acceso a la facultad que tiene el interesado de solicitar y obtener de forma gratuita y en un plazo determinado, la información sobre sus datos sometidos a tratamiento, así como las comunicaciones y cesiones que se han realizado de los mismos. Vemos por tanto qua existe una conexión entre los datos y la finalidad que provocó su recogida, la cual ha de mantenerse en todo momento. Cuando esto no suceda, el responsable procederá de oficio a su cancelación o permitirá el ejercicio del derecho de cancelación por parte del titular del dato.
3
Además, de existir una obligación legal que establezca la necesidad de conservar los datos una vez concluida la finalidad que originó su recogida, el responsable del fichero podrá conservar los datos a través del bloqueo o a través de un proceso de disociación. En relación al bloqueo, la Ley establece en su artículo 16.3 lo siguiente "la cancelación dará lugar al bloqueo de los datos, conservándose únicamente a disposición de las Administraciones Públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante la prescripción de éstas. Cumplido el citado plazo deberá procederse a su supresión". En el artículo 16.5 establece que "los datos de carácter personal deberán ser conservados durante los plazos previstos en las disposiciones aplicables o, en su caso, en la relaciones contractuales entre la persona o entidad responsable del tratamiento y el interesado". En cuanto a la disociación, se puede definir este procedimiento como todo tratamiento de datos de carácter personal de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable (normalmente este procedimiento se traduce en la disociación de las tablas y campos que conforman el fichero, de manera que no se puedan relacionar los datos o informaciones obtenidas con una persona identificada o identificable). -Deben haber sido recogidos de forma lícita, quedando totalmente prohibida la recogida de datos por medios fraudulentos, desleales o ilícitos. Como ejemplos de incumplimiento de algunos de estos requisitos se pueden citar: -Solicitar datos del estado civil u origen racial para realizar una reserva en un hotel, ya que para realizar la misma sólo es pertinente solicitar el nombre, apellidos y DNI. -Mantener los datos para el envío de mobiliario por más tiempo del necesario para cumplir dicha finalidad. Una vez que el cliente reciba sus muebles, en principio, la finalidad que motivó el envío del mobiliario ha concluido por lo que los datos de envío deberían cancelarse. La LOPD establece que la vulneración de los principios de calidad de los datos recogidos en su artículo 4, tendrán la consideración de infracciones graves o muy graves.
4
2. El derecho a la información en la recogida de los datos En el artículo 5 de la Ley se enumera como otro principio de la protección de los datos de carácter personal el derecho del interesado a ser informado en la recogida de los datos. Se considera "afectado o interesado", en este caso, a la persona física titular de los datos personales que sean objeto de tratamiento. De este modo los interesados a los que se soliciten datos personales deberán estar previamente informados de forma precisa, inequívoca y expresa de los siguientes aspectos: Los interesados .han de estar informados de: -De la existencia de un fichero o tratamiento de datos de carácter personal. -De la finalidad de la recogida de estos datos. -Los destinatarios de esta información. -El carácter obligatorio o facultativo de su respuesta a las preguntas formuladas (esto se observa en Internet donde se nos informa claramente de los datos que son obligatorios para proseguir con el trámite, normalmente con un asterisco o con diferente color). -De las consecuencias de la obtención de los datos o de la negativa a suministrarlos (de este modo, en el ejemplo anterior de Internet, el no proporcionar el nombre y apellido invalidaría la introducción de un currículo). -De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición. -Para finalizar, la identidad y dirección del responsable del tratamiento o, en su caso, de su representante (dato que en muchos casos se omite).
5
Cuando el responsable del tratamiento no esté establecido en el territorio de la Unión Europea y emplee en el tratamiento de datos medios situados en el territorio español, se debe designar, salvo que tales medios se utilicen con fines de trámite, un representante en España. Todo ello sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento. En cuestionarios u otros impresos debe hacerse figurar, en forma claramente legible, las mencionadas advertencias. En el caso de que los datos de carácter personal no sean obtenidos directamente del interesado, éste deberá ser informado de forma expresa, precisa e inequívoca por el responsable del tratamiento o su representante, dentro de los tres meses siguientes al momento del registro de los datos, salvo que: -Ya hubiera sido informado con anterioridad del contenido del tratamiento, de la procedencia de los datos y de todo lo demás que ya se ha señalado. - El tratamiento tenga fines históricos, estadísticos o científicos. -Cuando la información al interesado resulte imposible o exija esfuerzos desproporcionados, a criterio de la Agencia Española de Protección de Datos o del organismo autonómico equivalente, en consideración al número de interesados, a la antigüedad de los datos y a las posibles medidas compensatorias. En la práctica esto obliga a consultar a la Agencia Española de Protección de Datos. -Cuando los datos proceden de fuentes de acceso público y se destinan a la actividad de publicidad o prospección comercial. En cuyo caso, en cada comunicación que se dirija al interesado, se le informará del origen de los datos y de la identidad del responsable del fichero así como de los derechos que le amparan.
3. El consentimiento del titular de los datos El principio del consentimiento es el eje fundamental de la Protección de Datos estableciéndose como exigencia. Así lo indica al establecer, en el artículo 6.1 Que "El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa".
6
La ley fija como tipo general el consentimiento libre, específico, informado e inequívoco, salvo que la propia ley disponga tipos especiales. Así, podemos decir que el consentimiento será: El consentimiento será: -Libre Deberá obtenerse sin la intervención de vicio alguno del consentimiento. -Informado En relación a una determinada operación de tratamiento y para una finalidad determinada, explícita y legítima del responsable del fichero. -Específico En relación a una determinada operación de tratamiento y para una finalidad determinada, explícita y legítima del responsable del fichero. -Inequívoco En relación a una determinada operación de tratamiento y para una finalidad determinada, explicita y legítima del responsable del fichero. En principio, el consentimiento dado abarca todas y cada una de las operaciones que engloban el tratamiento, encontrando sólo una excepción, que es en el caso de la cesión de datos, donde el consentimiento para la cesi6n será previo e informado. Hay que señalar que el consentimiento general exigido por la ley va íntimamente ligado a la obligación de informar, a la hora de la recogida de los datos, de los extremos señalados en el articulo 5 (derecho de información en la recogida), puesto que entiende la Ley que a partir de dicha información el afectado es consciente y toma conocimiento de la existencia del tratamiento que se va a realizar, las finalidades y los derechos que le asisten.
3.1 Tipos especiales de consentimiento La ley dispone para determinadas categorías de datos un tipo elevado de consentimiento. Así, encontramos que: - El articulo 7.2 indica que "Sólo con el consentimiento expreso y por escrito del afectado podrán ser objeto de tratamiento los datos de carácter personal que revelen la ideología, afiliación sindical, religión y creencias. Se exceptúan los ficheros mantenidos por partidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y otras entidades sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, en cuanto a los datos relativos a sus asociados o miembros, sin perjuicio de que la cesión de dichos datos precisará siempre el previo consentimiento del afectado".
7
- El articulo 7.3 indica que "Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una ley o el afectado consienta expresamente". Por ello, podemos señalar que el consentimiento sólo será expreso en los supuestos señalados específicamente por la Ley, y en concreto: El consentimiento solo será: -Expreso, para el tratamiento de los datos de salud. -Expreso y por escrito, para el tratamiento de datos de ideología, afiliación sindical, religión y creencia En caso de tratamiento de esta tipología de datos, será necesario que el Responsable del Fichero acredite que ha obtenido el consentimiento con todas las garantías establecidas por la ley, es decir, que además de que el consentimiento sea libre, inequívoco, específico, informado, sea prestado de forma expresa y por escrito (sólo en los arriba indicados).
3.2 Excepciones al consentimiento Se fijan en el artículo 6.2 una serie de excepciones al consentimiento. Así, "No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7.6 de la presente Ley, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado". De acuerdo con este artículo, no será necesario el previo consentimiento del afectado para el tratamiento de sus datos personales en caso de:
8
-Tratamiento realizados por Administraciones Públicas en el ejercicio de sus competencias propias. -Tratamientos realizados dentro del mantenimiento de una relación negocial, laboral o administrativa (es difícil encontrar una relación de este tipo que no exija, en sí misma, el tratamiento de los datos personal, ya sea para la facturación, contabilidad, gestión, realización de nóminas, etc.). -Protección de un "interés vital" del interesado, como en caso de que el afectado se encuentre física o jurídicamente incapacitado para dar su consentimiento. -Cuando procedan de fuentes accesibles al público. No será necesario el consentimiento del afectado cuando, recogidos los datos de fuentes accesibles al público, el tratamiento sea necesario para la satisfacción de un interés legítimo perseguido por el responsable del fichero (es el caso de la publicidad y prospección comercial).
3.3 Revocación del consentimiento El artículo 6.3 establece que "El consentimiento a que se refiere el artículo podrá ser revocado cuando exista causa justificada para ello y no se le atribuyan efectos retroactivos". Aunque la ley establece que el consentimiento podrá ser revocado cuando exista "causa justificada", hemos de entender que no sería necesario que el afectado manifestase una causa para revocar su consentimiento, debido a que el consentimiento no es más que una declaración de voluntad propia del afectado y su revocación sería otra declaración de voluntad. Así y en este sentido lo entiende la propia Ley para los casos de cesión de datos o cuando los datos se destinen a fines promocionales y/o publicitarios. Pero, en aquellos casos en los que el tratamiento de los datos viene derivado del mantenimiento de una relación negocial, administrativa o laboral, el consentimiento al tratamiento de los datos no podrá ser revocado sin que se alegue por el interesado una razón justa que fundamente esta revocación.
9
3.4 Derecho de oposición Se establece por la Ley en el artículo 6.4 que en aquellos casos en que no sea necesario el consentimiento del afectado para el tratamiento de los datos y siempre que no se disponga por ley lo contrario, el afectado podrá oponerse al tratamiento de sus datos cuando existan motivos fundados y legítimos relativos a una concreta situación personal. Este derecho de oposición al tratamiento de los datos debe entenderse sólo para aquellos casos concretos en los que no sea necesario el consentimiento del afectado. Aunque se tratará con más profundidad este aspecto al desarrollar los derechos de los afectados, hemos de adelantar que el derecho de oposición podrá ser total o parcial en los casos que se citan a continuación: El derecho de oposición podrá ser: -Total, en el caso de datos obtenidos de fuentes accesibles al público y cuyo tratamiento sea para fines promocionales y publicitarios. -Parcial en aquellos casos en los que el tratamiento venga del mantenimiento de una relación contractual o negocial, administrativa laboral etc. Así el afectado podrá oponerse a un tratamiento comercial o promocional de sus datos pero no a los tratamientos que se realicen para el mantenimiento o cumplimiento de la relación negocial, administrativa o laboral.
3.5 Incumplimiento En los casos en los que es necesario recabar el consentimiento del afectado y se incumpla con esta obligación, la Ley recoge que podrán imponerse sanciones por la comisión de infracciones graves o muy graves según el caso.
10
4. Tipos de datos 4.1 Generalidades La definición amplia de dato que aporta la Real Academia de la Lengua Española es "antecedente necesario para llegar al conocimiento exacto de una cosa o para deducir las consecuencias legítimas de un hecho". Por ello se puede definir dato como aquel hecho o valor a partir del cual se puede inferir una conclusión. En este apartado nos centraremos en analizar lo que se entiende por dato de carácter personal o dato personal. Ya en la Directiva 95146/CE del Parlamento Europeo y del consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de esos datos, se define el dato personal como toda información sobre una persona identificada o identificable (..) se considerará identificable toda persona, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural o social".
Este mismo concepto se define legalmente a nivel nacional en la LOPD y dice así "cualquier información concerniente a personas físicas identificadas o identificables". En líneas generales se entenderá por dato personal aquél inherente de una persona determinada, es decir, cualquier tipo de dato que permita conocer las características personales de alguien, en el sentido más amplio. Esta definición como se observa es muy amplia, por lo que se puede afirmar que casi todas las empresas o profesionales utilizan en algún momento de su actividad datos de carácter personal. Tipos de datos de carácter personal En la legislación española se reconocen diversos tipos de datos de carácter personal.
11
La clasificación que se da de los mismos varía en función del criterio seleccionado. En este apartado los vamos a clasificar según su importancia, según su seguridad y en base a los criterios de la Agenda Española de Protección de Datos (en adelante APD). - En relación a su importancia - En relación a su seguridad - En relación a los criterios de la AEPD
Comencemos por la clasificación en base a su importancia: En relación a su importancia: Se clasifica a los datos personales en base a la relación que guardan esos datos con el derecho a la intimidad. De este modo hay datos personales que van a estar especialmente protegidos. La relación de estos datos especialmente protegidos se da en los artículos 7 y 8 de la LOPD. Estos son básicamente: - Ideología - Afiliación sindical - Religión - Creencias
Tipos de datos personales Tipos de datos personales Especialmente protegidos
Ideología, afiliación sindical, religión, creencias, origen racial, salud, vida sexual.
De carácter identificativo
DNI/NIF nº SS/Mutualidad, nombre y apellidos, dirección postal y electrónica, teléfono, firma/huella digital, imagen/voz, marcas físicas, firma electrónica
12
Acerca de características personales
Datos de estado civil, datos de familia, fecha de nacimiento, lugar de nacimiento, edad, sexo, nacionalidad, lengua materna, características físicas o antropométricas.
De circunstancias sociales
Alojamiento/vivienda, situación militar, propiedades, aficiones y estilo de vida, pertenencia a asociaciones, licencias, permisos, etc.
Académicos y profesionales
Formación, titulaciones, historial de estudiante, experiencia profesional, pertenencia a colegios o asociaciones profesionales, etc.
Detalles de empleo
Profesión, puesto de trabajo, desempeñado, datos económicos de nómina, vida laboral, etc.
Detalles de información comercial
Actividades y negocios, licencias comerciales, suscripciones a publicaciones, creaciones artísticas, etc. Ingresos, rentas, inversiones, bienes patrimoniales, préstamos, avales, datos económicos, nómina, impuestos, seguros, hipotecas, subsidios, etc.
Datos económicos
Datos de transacciones
Bienes y servicios administrados-recibidos por el afectado, transacciones financieras, compensaciones, etc.
.
4.2 Datos especialmente protegidos
13
Dentro del elenco de datos de carácter personal que hemos citado en el apartado anterior, destacan un tipo de datos que la LOPD en su artículo 7 denomina como datos especialmente protegidos, ya que la Ley los protege de forma especial. Estos son los datos de carácter personal relativos a: - La ideología - La religión - Las creencias - La afiliación sindical (cumpliendo con lo establecido en la Directiva 95/46/CE) - El origen racial o étnico - La salud - La vida sexual - Los datos relativos a la comisión de infracciones penales o administrativas. Estos datos se podría decir que son los que más se aproximan al derecho fundamental de intimidad, ya que constituyen la zona más reservada de los individuos (puede no importarnos que conozcan nuestro nombre y apellidos, pero si importarnos el hecho de que se conozca nuestra religión o tendencia sexual). En concreto, la LOPD establece en su artículo 7 que: - Sólo podrán ser objeto de tratamiento los datos personales referidos a la ideología, afiliación sindical, la religión, las creencias cuando se dé el consentimiento expreso y por escrito del afectado. - Además debe informarse de forma expresa al interesado de que tiene derecho a no prestar dicho consentimiento, en base al artículo 16.2 de la Constitución Española, en el que se establece que nadie podrá ser obligado a declarar sobre su ideología, religión o creencias.
14
- Se exceptúa del consentimiento expreso y por escrito del apartado anterior, y sin perjuicio del necesario consentimiento para su cesión por parte del afectado, los ficheros mantenidos por los partidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y otras entidades sin ánimo de lucro (como en lo relativo a sus asociados o miembros).
- En relación a los datos sobre origen racial, salud y vida sexual se establece la prohibición general salvo que una ley lo disponga expresamente, por razones de interés general, o el afectado consienta expresamente tanto su recogida como su tratamiento y cesión. - Los ficheros exclusivamente dedicados al almacenamiento de datos relativos a la ideología, afiliación sindical, religión, creencias, origen racial o vida sexual quedan totalmente prohibidos. - Los datos de carácter personal relativos a la comisión de infracciones penales o administrativas solo podrán ser incluidos en ficheros de las Administraciones Públicas competentes en los supuestos previstos en las respectivas normas reguladoras. - No obstante, lo referido en los apartados anteriores, los datos sobre ideología, afiliación sindical, religión, creencias, salud, origen racial y vida sexual podrán ser tratados únicamente en el caso de que sea necesario para la prevención o diagnóstico médico, la prestación de asistencia sanitaria o tratamientos médicos, o la gestión de servicios sanitarios. - También podrá ser objeto de tratamiento los datos citados en el párrafo anterior cuando sea necesario para salvaguardar el interés vital de la persona afectada o de otra persona, en el supuesto de que el afectado esté física o jurídicamente incapacitado para dar su consentimiento.
4.3 Datos relativos a la salud Los datos personales referidos a la salud están también protegidos de forma especial, de ahí se deriva el consentimiento expreso del interesado o que el tratamiento se realice por razones de interés general o que así lo disponga una ley.
15
En relación con los mismos, ha de destacarse el artículo 8 de la LOPD, en el que se establece que las instituciones y los centros sanitarios públicos y privados y los profesionales correspondientes podrán proceder al tratamiento de datos de carácter personal relativos a la salud de las personas que a ellos acudan, o hayan de ser tratados en los mismos, de conformidad con lo dispuestos en la legislación a nivel estatal o en la autonómica sobre sanidad (sin perjuicio de lo establecido en el artículo 11 de la LOPD respecto a su cesión). En los artículos 16 a 19 de la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica establecen: - Artículo 16 (usos de la historia clínica). La historia clínica es un instrumento destinado fundamentalmente a garantizar una asistencia adecuada al paciente. Los profesionales asistenciales del centro que realizan el diagnostico o el tratamiento del paciente tienen acceso a la historia clínica de éste como instrumento fundamental para su adecuada asistencia (...) El personal que accede a los datos de historia clínica en el ejercicio de sus funciones queda sujeto al deber de secreto. - Artículo 17 (La conservación de la documentación clínica). Los centros tienen la obligación de conservar la documentación clínica en condiciones que garanticen su correcto mantenimiento y seguridad, aunque no necesariamente en el soporte original, para la debida asistencia al paciente durante el tiempo adecuado a cada caso y, como mínimo, cinco años contados desde la fecha de alta de cada proceso asistencial (...). - Artículo 18 (Derechos de acceso a la historia clínica). El paciente tiene el derecho de acceso, con las reservas señaladas en el apartado 3 de este artículo, a la documentación de la historia clínica y a obtener copia de los datos que figuran en ella. Los centros sanitarios regularán el procedimiento que garantice la observancia de estos derechos (...). - Artículo 19 (Derechos relacionados con la custodia de la historia clínica). El paciente tiene derechos a que los centros sanitarios establezcan un mecanismo de custodia activa y diligente de las historias clínicas. Dicha custodia permitirá la recogida, la integración, la recuperación y la comunicación de la información sometida al principio de confidencialidad con arreglo a lo establecido en el artículo 16 de la presente Ley.
16
Un ejemplo de protección de datos relativos a la salud, es el que aparece en el artículo 22 de la Ley 31/1995 de prevención de riesgos laborales, en el que se establece básicamente lo siguiente: La obligación empresarial de llevar a cabo la vigilancia de la salud. Estos reconocimientos sólo podrán llevarse a cabo con el consentimiento expreso del trabajador, con las siguientes excepciones: Estos controles médicos deben, a su vez, someterse a las siguientes limitaciones:
- Cuando sean necesarios para evaluar los efectos del trabajo en la salud (por ejemplo, en trabajos con riesgo de explosión a rayos x)
-Verificar el estado de salud del trabajador, para ver si constituyen un peligro para sí mismo o para los demás.
-Cuando esté establecido legalmente para actividades de espacial peligrosidad (la prospección minera, trabajos en plataformas marinas, las obras de contrucción …)
-Causarán las menores molestias al trabajador. - Garantizarán el derecho a la intimidad y dignidad, así como a la confidencialidad del estado de salud del trabajador. - No se utilizarán los resultados con fines discriminatorios.
17
- Todas las personas con responsabilidades en materia preventiva serán informados solo de las conclusiones, es decir, apto o no apto para el puesto. - La información médica confidencial será únicamente accesible al personal sanitario que realice el control médico y al trabajador afectado. - Prohibido suministrar información médica a terceras personas sin el previo consentimiento del trabajador. Según lo anterior, queda totalmente prohibido suministrar datos personales sobre la salud del trabajador al empresario, salvo que el trabajador dé su consentimiento expreso.
5. El deber de secreto En el artículo 10 de la LOPD se establece el deber de secreto y de custodia de los datos de carácter personal, deberes que subsistirán una vez finalizado el tratamiento de los datos. En concreto el artículo dice así "El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismo y al deber de guardarlos, obligaciones que subsistirán aún después de finalizar sus respectivas relaciones con el titular del fichero o, en su caso, con el responsable del mismo”. Este deber de secreto debe ser adoptado por todo el personal laboral que accede a los Ficheros de datos; además en las empresas, este deber fijado por la LOPD se ve complementado por la obligación profesional de confidencialidad y secreto descrita en Estatuto de los Trabajadores, que se mantiene vigente hasta la finalización de la relación laboral. Por ello, las obligaciones de secreto, confidencialidad y custodia incumben a todo el personal y de manera particular, a aquellos que en el desarrollo de sus funciones accedan a Ficheros que contienen datos personales. En cumplimiento de estas obligaciones, el personal laboral de las empresas que trate o acceda a los ficheros de datos de carácter personal no deberá ni podrá divulgar o comunicar a terceras personas la información o los datos que maneja o a los que tenga conocimiento en el desempeño de su cargo o funciones.
18
Además, para garantizar la Confidencialidad de la Información dentro de las empresas y dada la importancia que la información y documentación tiene para la actividad empresarial, el personal que acceda a los Ficheros de datos es recomendable que cumpla siempre con las siguientes medidas: - Deberá actuar siempre conforme a sus obligaciones profesionales de confidencialidad y secreto, así como de acuerdo a lo dispuesto por la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal y su normativa de desarrollo. - El acceso a los datos personales contenidos en ficheros únicamente se llevará a cabo por personal autorizado, limitado a las funciones y actividades a desempeñar. - No revelará información a personas ajenas que no deban tener acceso a dicha información.
6. Seguridad de los datos En el artículo 9 de la LOPD se establece lo siguiente "El responsable del fichero y, en su caso, el encargado del tratamiento, deberán adoptarlas medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural”. También en este artículo se establece que no se registrarán datos de carácter personal en ficheros que no reúnan las medidas que se encuentran desarrolladas en el Reglamento de Medidas de Seguridad, aprobado por Real Decreto 994/1999, de 11 de junio, con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas. En lo que se refiere a la aplicación de las medidas de seguridad exigida por el Reglamento debe formularse una aclaración respecto a su aplicación en los ficheros no automatizados. El artículo 1 del Reglamento personal se especifica que será aplicable únicamente a los ficheros automatizados.
19
Como ya mencionamos en varias ocasiones la vigente LOPD presenta como una de sus principales novedades la ampliación de su ámbito de aplicación que ahora comprende no solo a los ficheros automatizados sino también a los no automatizados (soporte papel). La Disposición Transitoria Tercera de la LOPD mantiene la vigencia de las normas reglamentarias preexistentes, entre las que se incluye el Reglamento de Medidas de Seguridad, en cuanto no se oponga a la nueva Ley. En consecuencia, desde la entrada en vigor de la LOPD, resulta aplicable dicho Reglamento a los ficheros en soporte no automatizado que se hubieran creado con posterioridad a la entrada en vigor de la Ley Orgánica, el 14 de enero de 2000. Los ficheros en soportes no automatizados preexistentes a dicha fecha dispondrán, a estos efectos, del período de adaptación establecido en la Disposición Adicional Primera, que finaliza en octubre de 2007. De este modo, cuando resulte de aplicación el Reglamento de Medidas de Seguridad, conforme a lo anteriormente expuesto, solo deberán implantarse las medidas de seguridad que, pese a estar previstas para tratamientos automatizados, por su naturaleza sean también aplicables a ficheros no automatizados como, por ejemplo, la elaboración e implantación del Documento de Seguridad.
Este principio de seguridad de los datos junto con el de comunicaci6n y acceso a los datos por cuenta de terceros serán desarrollados con más detenimiento en los sucesivos módulos.
¡ FIN DEL TEMA 2!
20
21