TEMA 5 Los ficheros de titularidad privada 1. Introducción. Los ficheros de titularidad privada La Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (en adelante LOPD) regula los ficheros de datos personales de titularidad privada en el Capítulo II (artículos 25 a 32) pero antes de proceder a su desarrollo vamos a recordar en qué consiste el concepto de fichero de datos de carácter personal. Los ficheros se definen en la Ley como "todo conjunto organizado de datos de carácter personal, cualquiera que sea la forma y modalidad de su creación, almacenamiento, organización y acceso". Hay que tener en cuenta que dentro del concepto de fichero que aporta la LOPD se incluyen tanto los ficheros automatizados (cualquier base de datos) como los ficheros manuales. En relación al tipo de ficheros existentes, mencionar que atendiendo a la titularidad de los ficheros de datos, éstos pueden clasificarse en ficheros de titularidad pública y ficheros de titularidad privada, y atendiendo a la forma de organizar el fichero, se distingue entre ficheros automatizados y ficheros manuales. - Ficheros según la titularidad: •
De titularidad pública
Son los que crean las Administraciones Públicas en el ejercicio de sus funciones. Su creación requiere una disposición general publicada en le BOE o en el diario oficial correspondiente, es decir, su responsabilidad corresponde a las Administraciones públicas. •
De titularidad privada
Son los que cualquier particular o empresa privada crea para el desarrollo de actividades legítimas. Es decir, aquellos ficheros en los que el responsable sea una persona privada física o jurídica.
Curso LOPD
2
- Ficheros según la forma de organización: •
Automatizados
Son la base de datos a las que se incorporan datos de carácter personal. •
Manuales
Son cualesquiera otros ficheros de datos no organizados por medio de bases de datos. En base a las definiciones aportadas, que derivan de lo dispuesto en la LOPD, se observa que los ficheros de titularidad pública y privada no se diferencian por la naturaleza de los datos que contienen, sino que la diferencia fundamental estriba en el titular responsable de los datos, de tal modo que este dotará del mismo carácter a los ficheros del que es responsable. De esta manera, se establece como norma general que si el titular de los datos es una persona jurídica de naturaleza pública, los ficheros de los que sea responsable serán considerados de naturaleza pública y, por el contrario, las personas físicas o jurídicas de naturaleza privada serán considerados titulares de ficheros privados. La diferencia entre un tipo u otro de fichero es muy importante, ya que el régimen jurídico aplicable a cada tipo de entidad (pública o privada) es diferente. Sin embargo, es necesario comentar que ambas entidades siguen unas pautas comunes a la hora de inscribir los ficheros en el Registro de la Agencia Española de Protección de Datos (en adelante AEPD) y en relación a la elaboración del denominado Documento de Seguridad (ya comentado). También, mencionar que la dualidad existente entre los ficheros públicos y privados ya había originado un gran recelo en la derogada Ley Orgánica 5/1992 de Regulación del Tratamiento Automatizado de los Datos de Carácter personal (en adelante LORTAD), pues para muchos esta diferenciación tenía como objetivo fundamental justificar el conjunto de excepciones que configuraban un régimen jurídico excepcional en la regulación de los ficheros de titularidad pública, doctrina denominada “Euforia de excepciones” No obstante, a pesar de la polémica suscitada en su momento, se observa que en la LOPD se continúa manteniendo esta dualidad.
Curso LOPD
3
En relación a la naturaleza de los ficheros, surge un problema relacionado con los tratados por los colegios profesionales, pues una primera lectura de la LOPD nos permite llegar a la conclusión de que concebir un fichero como público o privado depende únicamente de la consideración de su titular como un ente público o privado. En base a este criterio y, a pesar de las funciones públicas y privadas desempeñadas por los colegios profesionales, éstos tienen la consideración corporaciones del derecho público, por lo que deberían seguir, para la inscripción de sus ficheros en el Registro General de Protección de Datos, el procedimiento establecido para los ficheros de titularidad pública. Sin embargo, la Agencia Española de Protección de Datos señala que los ficheros de los colegios profesionales habrán de ser concebidos como ficheros de naturaleza pública o privada en atención a la finalidad que por los mismos se persiga. Así, serán de naturaleza pública los ficheros cuya finalidad sea el ejercicio por el responsable de las potestades administrativas conferidas por las leyes y reglamentos, siendo de titularidad privada los ficheros vinculados al desempeño de actividades propias de Derecho privado. Por lo tanto, para determinar la naturaleza pública o privada de los ficheros de un determinado colegio profesional se atenderá fundamentalmente a la naturaleza pública o privada de la finalidad que motiva el tratamiento de los datos de carácter personal y también a si el fichero guarda relación con las funciones desempeñadas por el colegio o no. En este módulo, en concreto, se van a comentar los ficheros de titularidad privada (Capítulo II del Título IV de la LOPD), tanto automatizados como manuales.
2. Creación, notificación e inscripción registral del fichero de titularidad privada 2.1 Creación de un fichero de titularidad privada En relación a los ficheros de titularidad privada, tanto automatizados como manuales, la LOPD determina en su artículo 25 que cualquier persona, empresa o entidad privada puede crear un fichero que contenga datos de carácter personal cuando su creación sea necesaria para el logro de la actividad u objeto legítimos del titular del fichero y
Curso LOPD
4
siempre en la creación y mantenimiento del fichero se respeten las garantías que para la protección de personas establece la LOPD. Por tanto, según lo comentado, no es necesario un acto expreso de autorización para su creación.
2.3 Notificación e inscripción registral del fichero de titularidad privada La Ley en su artículo 26.1 establece una condición mes para la creación de ficheros, su notificación previa a la AEPD, es decir, se deben registrar antes de empezar a recoger los datos que ha de contener. Principios que rigen la notificación e inscripción registral de los ficheros En relación a estos principios, estos se enumeran a continuación: - El responsable del fichero deberá notificar a la AEPD, previamente a la realización de cualquier tratamiento, la creación de un fichero de datos de carácter personal. - La notificación e inscripción del fichero tiene efectos meramente declarativos, no prejuzga el cumplimiento del resto de las obligaciones establecidas por la normativa sobre protección de datos de carácter personal. - La notificaci6n de ficheros implica el compromiso de asegurar el cumplimiento de las exigencias legales en el tratamiento de datos de carácter personal declarado para su inscripción. - La notificación de ficheros tiene como finalidad principal asegurar la publicidad de las características y finalidades de los tratamientos. Obligación de notificar e inscribir los ficheros de titularidad privada Todas las personas o empresas privadas que procedan a la creación de ficheros que contengan datos personales están obligadas a notificar dicha creación previamente a la AEPD, a fin de que la Agencia proceda a inscribirlo en el Registro General de Protección de Datos (en adelante RGPD), el cual es un órgano de la AEPD
Curso LOPD
5
encargado de dar publicidad a la existencia de ficheros de datos de carácter personal. Es importante indicar que la AEPD dispone tan sólo de información relativa a la descripción de dichos ficheros ya que ésta no archiva datos personales sino que se limita a inscribir la existencia de ficheros que los contienen (por ejemplo, un fichero con datos de clientes, de empleados, de contribuyentes, etc.) y que son notificados a la Agencia por los responsables de su creación (ya sean estás personas jurídicas o físicas). Hoy en día casi todas las empresas privadas almacenan nombres y ciertos datos de sus clientes y según lo mencionado toda empresa, profesional autónomo u organización de cualquier tipo (asociaciones empresariales, sindicales, deportivas, culturales, benéficas, etc.) que posea ficheros conteniendo datos de carácter personal registrados en soporte físico, tanto si están automatizados como si se tratan manualmente, estará obligado a registrar sus fichero Sin embargo, no será preciso que sean dados de alta los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas. Se concluye, por tanto, que la responsabilidad u obligación de declarar los ficheros es siempre del ente propietario de los datos, es decir, de la persona o entidad que proceda a la creación de un fichero de datos de carácter personal. Ficheros de nueva creación y ficheros preexistentes a la entrada en vigor de la LOPD - Ficheros de nueva creación: la persona o entidad que pretenda crear un fichero de datos de carácter personal, con posterioridad a la entrada en vigor de la LOPD (la cual se produjo en el 14 de enero del 2000) lo notificará previamente (cuando la estructura de dicho fichero este perfectamente definida y se conozca la finalidad y usos previstos para el mismo) a la AEPD mediante escrito o soporte informático en modelo normalizado que al efecto elabore la Agencia. Según esto, todos los ficheros, incluso los ficheros no automatizados o manuales, creados con posterioridad al 14 de enero de 2000 deberán haber sido notificados e inscritos. Sin embargo, se sabe que esto no ha sucedido, aunque cada vez es mayor el número de ficheros que se notifican e inscriben conforme lo establecido en la Ley. - Ficheros preexistentes a la entrada en vigor a la LOPD: los ficheros automatizados preexistentes (inscritos o no en el RGPD) deberán, en el plazo de 3 años desde la
Curso LOPD
6
entrada en vigor de la Ley de Protección de Datos, el 14 de enero de 2000, adecuarse a la misma. En el caso de los ficheros no automatizados o manuales (listados, fichas, etc.) existe el plazo de 12 años a contar desde el año 1995 (por lo tanto, su aplicación ha sido demorada hasta el año 2007), sin perjuicio del ejercicio de los derechos de acceso, rectificación, y cancelación por parte de los afectados. No obstante, se puede optar voluntariamente por registrar los ficheros en soporte papel preexistente (siempre que quede perfectamente reflejado en el formulario utilizado al efecto). Objetivos de la notificación e inscripción de los ficheros - Para la Agencia Española de Protección de Datos: •Control sobre los ficheros de datos elaborados por las entidades privadas (también para las públicas) para facilitarle el ejercicio de las funciones que le competen. •Determinar el grado de adecuación de dichos tratamientos a la normativa sobre protección de datos de carácter personal, y requerir a los responsables de los ficheros la adopción de las medidas de seguridad y procedimientos que garanticen la protección de los datos contenidos en los ficheros. •Conocer la existencia de transferencias internacionales de datos que requieran de autorización del Director de la AEPD. •Permitir el ejercicio de los derechos de consulta de los titulares de los datos incluidos en los ficheros. -Para las entidades: • Evitar la imposición de duras sanciones por el incumplimiento de la normativa en materia de protección de datos de carácter personal. Es importante recordar que las sanciones en la materia en España son de las mayores de Europa. • Buena imagen. El cumplimiento de la normativa sobre protección de datos de carácter personal y, por tanto, la no imposición de sanciones en la materia, nos creará una buena imagen de cara a nuestros clientes y potenciales clientes, aportándoles seguridad y confianza con respecto a nuestra empresa. Del mismo modo, supondrá
Curso LOPD
7
mejorar la imagen de los trabajadores con relación a la empresa, pues las personas son día a día más conscientes de la importancia de la protección de su intimidad mediante el tratamiento adecuado de sus datos. • Facilita las labores de gestión interna. Puesto que el cumplimiento de la normativa sobre protección de datos de carácter personal implica la adopción de medidas de seguridad de carácter técnico (que pueden ser aprovechadas para la protección del resto de información corporativa de la empresa), así como la implantación de procedimientos organizacionales, las labores de control interno se ven agilizadas y facilitadas. Para lograr las ventajas anteriormente citadas, sobre el responsable del fichero pesa el deber de notificación e inscripción, teniendo dicha actuación un carácter meramente declarativo, puesto que en ningún caso la notificación e inscripción de los ficheros implica una valoración o fiscalización por parte de la Agencia Española de Protección de Datos de la información que se facilita. Sin embargo, conviene recordar que el simple registro no implica una exención de la responsabilidad.
¿Qué más hay que notificar e inscribir? Sin embargo, no sólo es necesario inscribir el fichero, sino también: - Los datos que sean necesarios para el ejercicio, por parte de los afectados, de los derechos de información, acceso, rectificación, cancelación y oposición. - Las autorizaciones que dé el director de la Agencia de Protección de Datos a las transferencias internacionales de datos: En determinados casos, cuando se pretenda llevar datos de carácter personal a otros países que no ofrezcan el mismo nivel de protección de datos de carácter personal que presenta España, los datos no podrán ser llevados a ese país si el Director de la AEPD no lo autoriza. - Los códigos tipo: Son c6digos de conducta que pueden establecer los titulares de ficheros de carácter personal (privados y públicos), a nivel individual o colectivo con el fin de determinar las condiciones de organización, régimen de funcionamiento, procedimientos aplicables, normas de seguridad del entorno, programas o equipos, obligaciones de los implicados en el tratamiento y uso de la información personal, etc. En el punto 5.5 de este modulo se tratarán con más detenimiento.
Curso LOPD
8
El acceso del interesado a los datos personales contenidos en el fichero Para conocer el contenido de un fichero de datos personales, habrá de solicitar del responsable del fichero una autorización de acceso, que será concedida sin obstáculos cuando el solicitante sea la persona interesada. En cualquier caso, el interesado podrá acceder exclusivamente a sus propios datos, y no al conjunto de los que en el fichero se contengan. Procedimiento para la notificación e inscripción registral de los ficheros de titularidad privada Para realizar la declaración de ficheros ante la Agencia Española de Protección de Datos se debe utilizar obligatoriamente el formulario aprobado en la Resoluci6n de 30 de mayo de 2000 de la AEPD, por la que se aprueban los modelos normalizados en soporte papel, magnético y telemático a través de los que deberán efectuarse las solicitudes de inscripción en el Registro General de Protección de Datos (Boletín Oficial del Estado numero 153 de 27/6/2000). Por lo tanto, en lo que se refiere a ficheros de titularidad privada, la declaración se puede realizar a través de: -Internet -Soporte magnético -Formulario de papel
Los modelos normalizados están disponibles en la página Web de la que dispone la Agencia Española de Protección de Datos (www.agpd.es), en el apartado "Canal del Responsable de Fichero- Inscripción de Ficheros", tanto para efectuar la notificación en soporte papel, como para efectuarla por Internet o soporte magnético.
Curso LOPD
9
Es importante mencionar que: -Todos los tipos de soportes gozan de la misma validez en Derecho. -La inscripción de ficheros en el RGPD es siempre gratuita. Veamos a continuación cómo se llevaría a cabo este procedimiento según la modalidad escogida: Presentación de notificaciones mediante formulario en soporte papel, para realizar la presentación de notificaciones mediante formulario, es necesario: -Obtener los formularios normalizados de notificación en soporte papel. Se pueden obtener desde la página Web de la AEPD (www.agpd.es), en el apartado "Canal del responsable de ficheros-inscripción de ficheros", seleccionando "Notificar por Cuestionario". - Cumplimentar tantos formularios como tratamientos desee notificar. - Enviar cada formulario, junto con la hoja de solicitud firmada por una persona con representación suficiente, a la AEPD. Notificación de Ficheros por Internet o por soporte magnético: la notificación de Ficheros a través de Internet o por soporte magnético es el medio recomendado por la AEPD, habiendo creado al efecto una aplicación que contiene el Formulario aprobado por Resolución de 30 de Mayo de 2000, junto con herramientas de ayuda que facilitan al responsable del fichero la notificación de los ficheros de su titularidad. El programa de ayuda, que se obtiene de forma gratuita, permite realizar la notificación al RGPD de una forma más rápida y eficaz, ya que: -Facilita la cumplimentación del aspecto formal de la notificación a través de una herramienta de ayuda. - Minimiza los errores al completar el modelo. - Reduce el tiempo de tramitación de la inscripción.
Curso LOPD
10
Por lo tanto, para realizar la presentación de notificaciones a través de Internet o por soporte magnético, se deben seguir los pasos que a continuación se resumen: -Obtener el programa de notificaciones junto con las instrucciones que se aportan para la instalación del programa de ayuda para la generación de notificaciones de creación, modificación o supresión de ficheros. -Posteriormente, cumplimentar las notificaciones que se deseen inscribir - A continuación, por medio del programa, enviar las notificaciones a través de Internet. El programa también permite obtener un soporte magnético con las notificaciones generadas, en el caso de que no se desee emplear Internet para enviar las mismas. -En cualquier caso, para que surta efecto legal la notificación, es obligatorio enviar la "hoja de solicitud" generada por el programa, firmada por persona con representación suficiente, a la AEPD. Para una mayor claridad, a continuación se explica con mayor detalle el procedimiento de notificación por Internet o soporte magnético: La aplicación para la notificación de ficheros puede ser descargada directamente por el responsable del fichero a su equipo informático desde la página Web de la AEPD (www.agpd.es), en el apartado "Canal del responsable de ficheros-Inscripción de ficheros", seleccionando "Notificar por Internet". Una vez que el programa para la inscripción de ficheros (en este caso de titularidad privada) ya ha sido descargada en el equipo informático, será necesario completar el "Formulario de notificación de ficheros". La información que ha de ser completada en dicho Formulario es básicamente la siguiente (según la ya citada resolución de 30 de mayo de 2000 de la AEPD):
Identidad del responsable del fichero o tratamiento
Curso LOPD
11
Servicio o unidad concreto ante el que puede ejercitarse los derechos de los usuarios
Nombre y descripciรณn del fichero o tratamiento de datos
Ubicaciรณn principal del Fichero
Encargado del Tratamiento, en su caso
Sistema de Tratamiento o de Informaciรณn
Medidas de Seguridad
Estructura bรกsica y descripciรณn de los tipos de datos personales que se incluyen en el
Curso LOPD
12
Fichero
Finalidad del Fichero y usos previstos
Procedencia y procedimiento de recogida de los datos
Cesión o Comunicación de Datos, en su caso
Transferencias Internacionales de Datos, en su caso
Una vez ha sido completada la información requerida, puede enviarse la notificación a la AEPD, directamente por Internet a través de la opción "Enviar por Internet”. Cuando la notificación se efectúe a través de Internet la información declarada se transmitirá cifrada y se alojará en un servidor seguro. Igualmente, cabe la posibilidad de notificar la creación de ficheros a través de soporte magnético, así sólo tendremos que pulsar sobre la opción "Generar Soporte Magnético", seleccionar las notificaciones a incluir en el mismo, e identificar al responsable del fichero o persona que efectúa la notificación, y guardar las mismas en el soporte magnético seleccionado.
Curso LOPD
13
Todos los modelos se componen de una "Hoja de solicitud de inscripción" y de "La notificación del fichero". La hoja de solicitud (que puede ser impresa directamente desde la aplicación en el momento de efectuar la notificación por Internet, o bien con posterioridad a través de la opción "Imprimir Hoja de Solicitud de Inscripción”) deberá ser cumplimentada y presentada en todo caso en papel, debidamente firmada, cualquiera que sea el tipo y la modalidad de presentación. La AEPD recomienda utilizar una impresora láser o de chorro de tinta. No tendrá efectos la notificación efectuada por Internet, sino desde la fecha en la que tenga entrada en la Agencia Española de Protección de Datos la hoja de solicitud. En todo caso, carecerán de efecto alguno, las notificaciones enviadas por Internet si la "Hoja de solicitud de inscripción", debidamente cumplimentada y firmada, no hubiera sido presentada en la AEPD o en alguno de los Registros y oficinas a los que se refiere el artículo 38.4 de la Ley 30/1992, de 26 de noviembre de Régimen Jurídico de las Administraciones Públicas y del Procedimiento administrativo común . La "hoja de solicitud de inscripción" podrá ser enviada por fax a los números: 91 445 25 29 91 448 36 80 En la página Web de la AEPD también se indica que si ha empezado a cumplimentar alguno de los apartados no obligatorios (Acceso, Ubicación, Encargado, Cesiones o Transferencias) y desea que éste figure sin cumplimentar, la aplicaci6n dispone de un botón de borrado disponible al final del apartado que dejará en blanco este apartado. Para desplazarse por la pantalla puede utilizar la barra de desplazamiento lateral. A su vez, se ha de tener en cuenta que la aplicación no permite suprimir apartados no obligatorios que fueron declarados en anteriores inscripciones o modificaciones del fichero en el Registro General de Protección de Datos. Para realizar este tipo de modificación, deberá enviar a la Agencia Española de Protección de Datos un formulario en papel o enviar un escrito firmado por persona con representación suficiente del responsable del fichero indicando la subsanaci6n correspondiente. Una vez ha sido recibida la notificaci6n del fichero y la solicitud de inscripción en la AEPD, los técnicos de la misma evalúan la información y Si todos los extremos son correctos proceden a la inscripción del fichero.
Curso LOPD
14
En caso de detectar errores, éstos solicitan al responsable del fichero la subsanación de los mismos (en el plazo de diez, con indicación de que, si así no lo hiciera, se le tendrá por desistido de su petición, archivándose sin más trámite). Así el artículo 26.4 de la LOPD establece: "Registro General de Protección de Datos inscribirá el fichero si la notificación se ajusta a los requisitos exigibles. En caso contrario podrá pedir que se completen los datos que falten o se proceda a su subsanación". Transcurrido un mes desde la presentación de la solicitud de inscripción sin que la AEPD hubiera resuelto sobre la misma, se entenderá inscrito el fichero automatizado a todos los efectos legales. En cualquier caso, la inscripción no tiene carácter constitutivo, de modo que el fichero existe pese a no estar inscrito. En este sentido, el artículo 26.5 establece: “transcurrido un mes desde la presentación de la solicitud de inscripción sin que la Agencia Española de Protección de Datos hubiera resuelto sobre la misma, se entenderá inscrito el fichero automatizado a todos los efectos". Una vez ha sido inscrito el fichero en el Registro, la inscripción será notificada al responsable del fichero por el RGPD, indicando "el código de inscripción" que se le ha asignado al fichero. Este código de inscripción ha de ser correctamente archivado por el responsable del fichero, pues el mismo nos permitirá la posterior modificación o supresi6n del Fichero. Es muy importante tener en cuenta quo lo quo se va a inscribir son los ficheros no los datos, así como que tanto el formulario como la inscripción es totalmente gratuita. Si varían los datos sobre el fichero comunicados al registro, o se suprime el fichero, el responsable del mismo ha de comunicarlo al Registro en el plazo de un mes desde la modificaci6n o la supresión. Interposición de recursos contra las resoluciones del Director de la Agencia de Protección de Datos Contra las resoluciones del Director de la Agencia Española de Protección de Datos relativos a la inscripción o, en su caso, a la modificación o cancelación de la inscripción de un fichero o Código tipo, procederá el recurso contencioso administrativo.
Curso LOPD
15
Infracciones en la materia La no solicitud de inscripción de un fichero supondría una infracción leve o grave, tal y como señala el artículo 44 de la LOPD, quedando sujeto al régimen sancionador previsto en esta Ley. Así, la falta de solicitud de inscripción de un fichero de datos de titularidad privada en el Registro General de Protección de Datos, está tipificada por la Ley como una infracción leve, que puede ser sancionada con una multa de 601,01 a 60.101,21 euros. Si la falta de solicitud de inscripción se produce a pesar de haber sido requerido para ello por parte de la AEPD, la infracción se considera grave y, en tal caso, puede ser sancionada con multa de 60.101,21 a 300.506,05 euros.
3. Modificación y supresión de la inscripción de Ficheros de Titularidad Privada Deberá notificarse a la Agencia Española de Protección de Datos cualquier cambio que se produzca en la declaración inicial e inscripción registral. Para ello, se utilizará el mismo modelo que ya se comentó para la creación, pero en este caso cumplimentando el apartado de modificación o de supresión, según corresponda y, en ambos casos, se deberá aportar el código de inscripción asignado por el RGPD al fichero. Cuando se trata de ficheros de titularidad privada, cualquier modificación posterior en el contenido de los extremos a que se refiere el artículo 6 del Real Decreto 1332/1994, por el que se desarrollan determinados aspectos de la Ley Orgánica 5/1992, de regulación del tratamiento automatizado de los datos de carácter personal (recuerda que todo el desarrollo reglamentario de la derogada LORTAD sigue vigente en todo lo que no se oponga a la LOPD) se comunicará, a efectos de inscripción, en su caso, a la AEPD dentro del mes siguiente a la fecha en que aquélla se hubiera producido. A efectos de la cancelación del correspondiente asiento de inscripción, también en el plazo de un mes, se comunicará la decisión de supresión del fichero de titularidad privada. En concreto, en lo relativo a la modificación y supresión de ficheros de titularidad privada se puede citar lo que a continuación se indica.
Curso LOPD
16
3.1 Modificación de ficheros Una vez notificado e inscrito un fichero, también deberán comunicarse a la Agencia Española de Protección de Datos los cambios que se produzcan en:
La finalidad del fichero
En su responsable En la dirección de su ubicación Así, el artículo 26.3 de la LOPD establece "Deberán comunicarse a la Agencia Española de Protección de Datos los cambios que se produzcan en la finalidad del fichero automatizado, en su responsable y en la dirección de su ubicación”. También deberán comunicarse a la AEPD cualquier modificación posterior en el contenido de la inscripción del fichero en el Registro General de Protección de Datos. Para llevar a cabo esta modificación, iremos a la página Web de la AEPD (www.agpd.es) en el apartado "Canal de/Responsable de Ficheros" y a través de la aplicación “Inscripción de Ficheros" seleccionaremos la opción de “Notificar por Internet "o "Notificar por Cuestionario” según la modalidad deseada, y procederemos de la misma manera que se ha indicado para la notificación de creación de ficheros de titularidad privada. Deberá cumplimentar en el modelo de notificación, la hoja de solicitud y el apartado de modificación. La aplicación nos solicitará la identificación del responsable del fichero, así como el código de inscripción. Los apartados señalados que se pretendan modificar deben cumplimentarse completamente, indicando todos los datos y no sólo los modificados respecto a notificaciones previas, ya que esta notificación sustituye a la anterior inscripción en el Registro General de Protección de Datos.
Curso LOPD
17
El responsable del fichero, por tanto, deberá señalar los apartados a modificar respecto a la anterior notificación, y dentro de los mismos completar todos los datos, y no sólo los que han sido modificados. A su vez, se ha de tener en cuenta que la aplicación no permite suprimir apartados no obligatorios que fueron declarados en anteriores inscripciones o modificaciones del fichero en el RGPD. Para realizar este tipo de modificación o supresión parcial, deberá enviar a la AEPD un formulario en papel o enviar un escrito firmado por persona con representación suficiente del responsable del fichero correspondiente
3.2 Supresión de ficheros Para llevar a cabo esta eliminación, iremos a la página Web de la AEPD (www.agpd.es) en el apartado "Canal del Responsable de Ficheros" y a través de la aplicación “Inscripción de ficheros” seleccionaremos la pestaña “notificar por internet” o “Notificar por cuestionario”, según la modalidad deseada, y procederemos de la misma manera que se ha indicado para la notificación de creación de ficheros de titularidad privada. La aplicación nos solicitará, para proceder a la supresión, la identificación del responsable del fichero, así como el código de inscripción.
Curso LOPD
18
Del mismo modo, debe señalar cuáles son los motivos que llevan a la supresión del Fichero: - Cese de actividad. - Término de la finalidad que motivó la creación del fichero. - Etc. Por último será necesario indicar en el formulario, el destino de la información o las medidas que van a ser adoptadas para garantizar la destrucción segura de los datos contenidos en el fichero a suprimir.
Curso LOPD
19
4. Clasificación de los ficheros de titularidad privada En base al formulario de inscripción de ficheros privados, se puede clasificar según su finalidad y usos previstos en los grupos que a continuación se muestran en las siguientes tablas
Gestión contable, fiscal y administrativa
-Gestión económica y contable -Gestión fiscal -Gestión administrativa -Gestión de facturación -Gestión de clientes -Gestión de proveedores -Gestión de cobros y pagos -Administración de fincas -Consultorías, auditorías, asesorías y servicios relacionados -Históricos de relaciones comerciales.
Recursos humanos
-Gestión de personal -Gestión de nóminas -Formación del personal -Prestaciones sociales -Selección de personal -Gestión de trabajo personal -Promoción y gestión de empleo -Prevención de riesgos laborales
Curso LOPD
20
-Control horario
Publicidad y prospección comercial
-Publicidad -Venta a distancia -Encuestas de opinión -Análisis de perfiles -Prospección comercial -Segmentación de mercados -Sistemas de ayuda y toma de decisiones -Recopilación de direcciones
Servicios económicos-financieros y seguros
-Cuenta de crédito -Cuenta de depósito -Gestión de patrimonios -Gestión de fondos de pensiones y similares -Gestión de tarjetas de crédito y similares -Registro de acciones y obligaciones -Otros servicios financieros -Cumplimiento/incumplimiento de obligaciones dinerarias -Prestación de servicios de solvencia patrimonial y crédito -Seguros de vida y salud -Otro tipo de seguros
Curso LOPD
21
Servicios de telecomunicaciones
-Prestación de servicios de telecomunicaciones -Guías/repertorios de servicios de telecomunicaciones -Comercio electrónico -Prestación de servicio de certificación
Actividades asociativas, culturales, recreativas, deportivas y sociales
-Gestión de actividades culturales -Gestión de clubes o asociaciones deportivas, culturales, profesionales y similares -Gestión de asociados o miembros de partidos políticos, sindicatos, Iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y otras entidades sin ánimo de lucro. -Actividades asociativas diversas -Asistencia social -Gestión de medios de comunicación social
Educación
-Enseñanza infantil -Enseñanza secundaria -Enseñanza universitaria -Enseñanza especial -Otras enseñanzas
Curso LOPD
22
Sanidad
-Gestión y control sanitario -Historial clínico -Investigación epidemiológica y actividades de analogía
Finalidades varias
-Fidelización de clientes -Reservas y emisión de billetes -Fines históricos, científicos o estadísticos -Otras finalidades
Seguridad
-Investigaciones privadas a personas -Seguridad y control de acceso a edificios -Otras actividades de seguridad
5. Especificaciones sobre algunos tipos de ficheros 5.1 Los datos incluidos en las fuentes de acceso público El origen del dato personal determina consecuencias y obligaciones para el responsable del fichero. El dato de carácter personal puede recogerse u obtenerse:
Curso LOPD
23
Directamente del propio interesado o afectado. Normalmente, mediante cuestionarios, encuestas, entrevistas, formularios telemáticos, telefónico, etc
De terceras personas (físicas o jurídicas) mediante la cesión o comunicación de los mismos
Cuando se recojan de fuentes accesibles al público
Definición: Las fuentes de acceso público (en adelante FAP) se definen de forma exhaustiva en la LOPD como un tipo de ficheros que contienen datos de carácter personal y cuya consulta puede ser realizada por cualquier persona, salvo que la consulta este impedida por una norma que limite tal acceso o lo impida, y sin que dicho acceso pueda estar constreñido por exigencias distintas al abono de una contraprestación. Ficheros incluidos en las fuentes de acceso Excepciones: La LOPD en su artículo 3. letra j), considera FAP únicamente a las siguientes: - Los censos promocionales. - Listas de personas pertenecientes a grupos de profesionales que contengan solo el nombre, titulo, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. - Los repertorios telefónicos. - Los diarios y boletines oficiales. - Los medios de comunicación.
Curso LOPD
24
Según esto, serán consideradas como fuentes de acceso público las que se enumeran legalmente y ninguna otra. Se observa, por tanto, que Internet no es considerada una fuente de acceso público (así lo ha estipulado también la AEPD). De este modo, para realizar tratamientos con los datos personales de alguien, aunque estos se encuentren publicados en Internet, será necesario recabar el consentimiento inequívoco, específico e informado del afectado. Tampoco serán consideradas fuentes accesibles al público los libros de registro y los archivos judiciales, ya que el acceso a los mismos se encuentra regulado y, en cierta medida, restringido y sujeto al trámite de solicitud y autorización. Disposiciones generales: Para las fuentes de acceso público, en concreto, la LOPD prevé normas especiales en cuanto al: - Derecho de información. - Principio de consentimiento. - Régimen jurídico de la cesión de datos personales.
En lo relativo a las consultas a estas fuentes de acceso público, se establece que cualquier persona puede realizarlas sin más exigencia que, en algunos casos, el abono de una contraprestación. En concreto, en el artículo 28 de la LOPD se establece que las fuentes de acceso público deben incluir los datos de carácter personal estrictamente necesarios para cumplir la finalidad para la que fueron destinados. La inclusión de datos adicionales por las entidades responsables del mantenimiento de dichas fuentes requerirá el consentimiento del interesado, que padre ser revocado en cualquier momento. En referencia a los Colegios Profesionales, en el citado artículo se indica que los interesados tienen derecho a que la entidad responsable del mantenimiento de los listados de estos Colegios Profesionales indique de forma totalmente gratuita que sus
Curso LOPD
25
datos personales no pueden ser utilizados para fines de publicidad o prospección comercial. La atención a la solicitud de exclusión de la información innecesaria o de inclusión de la objeción al use de los datos para fines de publicidad o venta a distancia deberá realizarse en el plazo de diez días respecto de las informaciones que se realicen mediante consulta o comunicación telemática y en la siguiente edición del listado cualquiera que sea el los datos para fines soporte en que se edite. Los interesados tendrán derecho a exigir gratuitamente la exclusión de la totalidad de sus datos personales que consten en el censo promocional por las entidades encargadas del mantenimiento de dichas fuentes. Las fuentes de acceso p6blico que se editen en forma de soporte físico perderán el carácter de fuente de acceso p6blico con la nueva edición que se publique. En el caso de las copias en formato electrónico (telemáticas), éstas perderán el carácter de fuentes de acceso público en el plazo de un año, a contar desde el momento de su obtención. Los datos que figuren en las guías o repertorios de los servicios de telecomunicaciones disponibles al público se regirán por su normativa específica. 5.2 Prestación de servicios de solvencia patrimonial y crédito Concepto: Los ficheros sobre solvencia patrimonial y crédito (en adelante FSPC) son aquéllos que tienen como finalidad dar a conocer en el tráfico mercantil la solvencia patrimonial, así como el grado de cumplimiento o incumplimiento de las obligaciones dinerarias contraídas por los afectados con sus acreedores. Hoy día constituye una práctica muy habitual entre las empresas que se dedican a la actividad de la financiación, solicitar, a aquellas entidades que presten servicios de información sobre solvencia patrimonial y crédito, información relativa al cumplimiento o incumplimiento de obligaciones dinerarias de las personas que les hayan solicitado una determinada operación financiera. Estas entidades que prestan los citados servicios son responsables de los denominados ficheros de información de solvencia patrimonial y crédito, comúnmente conocidos como "ficheros de los FSPC de morosos o ficheros comunes".
Curso LOPD
26
Ficheros más empleados: En cuanto a los FSPC más conocidos, se pueden señalar:
-
ASNEF (Asociación Nacional de Entidades de Financiación), el cual se creó para la gestión de los impagados de las financieras y cuenta actualmente con los datos de las entidades de crédito, las entidades gestoras de tarjetas de crédito y las operadoras de telefonía.
-
RAI (Registro de Impagados), dependiente del centro de Cooperación Interbancaria, creado por una serie de bancos con la finalidad de controlar la identidad de los que devolvían las letras de cambio y los pagarés.
-
Otros como: INGRESA, DELTA, BADEX, BDI, etc.
Regulación: Artículo 29 de la LOPD. Los ficheros sobre solvencia patrimonial y crédito se regulan en el artículo 29 de la LOPD, según el cual las personas o empresas que se dediquen a la prestación de servicios de información sobre la solvencia patrimonial y crédito sólo podrán tratar datos de carácter personal obtenidos:
- De los registros y las fuentes accesibles al público establecidos al efecto. - De informaciones facilitadas por el interesado. - Con su consentimiento.
Por otro lado, en el artículo 29.2 se establece que podrán tratarse también datos de carácter personal, relativos al cumplimiento o incumplimiento de obligaciones
Curso LOPD
27
dinerarias facilitados por el acreedor o por quien actúe por su cuenta o interés. Por lo tanto, en este segundo apartado se produce la excepción al principio de consentimiento tanto en la recogida como en el tratamiento de los datos, que hacen necesario efectuar una serie de precisiones (a través de la Instrucción 1/1995 de la AEPD, que se comentará a continuación). En estos casos se notificará a los interesados respecto de los que hayan registrado datos de carácter personal en ficheros, en el plazo de treinta días desde dicho registro, realizando en la citada notificación una referencia de los que hubiesen sido incluidos en el fichero y se les informará de su derecho a recabar información de la totalidad de ellos, en los términos establecidos en la LOPD.
En los apartados anteriormente citados, cuando el interesado lo solicite, el responsable del fichero le comunicará los datos, así como las evaluaciones y apreciaciones que sobre el mismo se hayan comunicado durante los últimos seis meses y el nombre y dirección de la persona o entidad (acreedor) a quien se hayan revelado esos datos. Es más, según el artículo 29.4 LOPD sólo se podrán registrar y ceder datos de carácter personal que sean determinantes para enjuiciar la solvencia patrimonial. En este mismo precepto también se establece un máximo de tiempo por el cual se pueden mantener dichos datos, siendo el mismo de seis años siempre y cuando respondan los datos a la situación actual de aquellos, característica que también recoge el artículo 4.3 relativo a la calidad de los datos. Instrucción 1/1995, de la Agencia Española de Protección de Datos, relativa a la protección de servicios de información sobre solvencia patrimonial y crédito. A su vez, este tipo de ficheros, se regulan en la citada instrucción, en la que se establece que para que el acreedor pueda ceder los datos a un registro de morosidad es necesario que se cumplan los siguientes requisitos (Capitulo I, donde se establecen los requisitos de calidad de los datos objeto del tratamiento): La existencia previa de una deuda vencida y exigible, que haya resultado impagada. El requerimiento previo de pago a quien corresponda el cumplimiento de la obligación.
Curso LOPD
28
Que el acreedor o quien actúe por su cuenta e interés, se asegure de que concurren todos los requisitos exigidos en los apartados anteriores en el momento de notificar los datos adversos al responsable del fichero común. Si el dato cedido por el acreedor resultase inexacto o no está actualizado, deberá el acreedor comunicar al responsable del registro en el mínimo tiempo posible la modificación del dato, sin perjuicio del derecho de rectificación y cancelación. El responsable del fichero común deberá proceder a la cancelación cautelar del dato, cuando el deudor aporte un principio de prueba documental suficiente, que desvirt6e alguno de los requisitos necesarios. Falta de actualización. El denominado "saldo cero": Hoy día no es infrecuente que a una persona se le niegue un crédito personal por figurar en uno de estos ficheros por una deuda contraída con otra entidad, cuando la misma ya ha sido saldada. Sin embargo, según el artículo 4 de la LOPD, que trata sobre el principio de calidad de los datos, estos deberán ser adecuados, pertinentes y no excesivos en relación con la finalidad para la que se recogieron, así como exactos y puestos al día, debiendo ser cancelados si resultasen inexactos.
La obligación de cumplir con este principio corresponde a la empresa acreedora, la cual deberá tomar todas las medidas necesarias para que los datos sean exactos y actualizados, ordenando al responsable del fichero la rectificación o cancelación de los datos personales del interesado cuando sea procedente. Esto viene a significar la prohibición de mantener el denominado "saldo cero" para las deudas ya pagadas, de tal modo, que una persona que ya haya saldado su deuda no puede figurar en un fichero de morosos, pues su aparición en el mismo implicaría el reconocimiento de una persona como deudora cuando ya no lo es. A partir de la entrada en vigor de la LOPD, se prohibió la práctica habitual de algunos prestadores de servicios, los cuales incluso cuando una deuda era satisfecha mantenían el "saldo 0" del deudor, datos considerados adversos, ya que cualquier asociado que consultase la situación de esa persona podía observar que anteriormente había sido deudor. En definitiva, si el deudor cumplió con su deuda y de conformidad a lo establecido en la LOPD, el responsable del fichero común deberá proceder a excluir automáticamente de
Curso LOPD
29
dicha lista los datos de morosidad. No cabrá, por tanto, ni que la entidad acreedora notifique tales datos, ni que el responsable del fichero común (prestadora de servicios de información de solvencia patrimonial) los registre, trate y haga accesibles a terceros. Derecho de acceso, rectificación y cancelación de los afectados: Todos los afectados por este tipo de ficheros tendrán el derecho de acceso, rectificación y cancelación de sus datos, derechos que podrán ejercer ante el responsable del fichero o ante la entidad acreedora, según la Instrucción 1/1998 de la AEPD relativa al ejercicio de estos derechos. - Petición de acceso: el responsable del fichero ante dicha petición deberá comunicar todos los datos relativos al afectado que obren en el mismo. Ante tal solicitud, la empresa acreedora deberá comunicar al afectado todos los datos relativos al mismo a los que ella pueda acceder, así como informar de la identidad de la entidad responsable del citado fichero para que el afectado pueda completar el ejercicio de su derecho de acceso. - Petición de rectificación o cancelación: si dicha petición se dirige al responsable del fichero, éste tomará todas las medidas para trasladar dicha solicitud a la entidad que le haya facilitado los datos para que ésta la resuelva. El afectado también podrá solicitar a la empresa acreedora la rectificación o cancelación de sus datos cuando estos sean imprecisos (total o parcialmente) o incompletos. Ante esta solicitud pueden darse dos circunstancias: Cuando los datos hayan sido facilitados por la empresa acreedora a la entidad responsable del fichero común: En este caso la entidad acreedora dispondrá de un plazo de 5 días para rectificar o cancelar los datos en sus ficheros y para notificarlo al responsable del fichero común. Cuando los datos no hayan sido facilitados por la entidad acreedora al responsable del fichero común: En este caso el acreedor informará de este hecho al interesado, proporcionándole también la identidad del responsable del fichero para que puede completar el ejercicio de sus derechos. Tratamiento de la información contenida en este tipo de ficheros por las entidades acreedoras:
Curso LOPD
30
En el momento en el que una entidad acreedora realiza una consulta al fichero común, ésta recibe una gran cantidad de información de la que la LOPD no establece nada sobre la posibilidad de guardar esos datos. En el caso de que el acreedor se decida por guardar los datos, parece claro que se ha procedido por su parte a crear un fichero y, por tanto, desde ese mismo momento pasa a ser responsable del mismo (tanto de su tratamiento como de su legalización). Al respecto, surge el problema de que es una práctica muy habitual entre las empresas dedicadas a la actividad de financiación (es decir, entre acreedores) la comunicación, entre las mismas, de datos obtenidos de estos ficheros comunes, la cual tendría como consecuencia inmediata la circulación ilegal de este tipo de datos, al no estar previamente consentida por el interesado esa cesión o comunicación a terceros (como obliga la LOPD en su artículo 11.). Para proteger a los interesados de este tráfico ilegal de sus datos sobre solvencia patrimonial y crédito, la LOPD incluye el derecho que asiste a los interesados a la hora de acceder y consultar los ficheros comunes, de tal modo que podrán conocer las entidades acreedoras a las que han facilitado sus datos, la finalidad para la que se consultaron, es decir, la identidad de los cesionarios de los mismo. Una vez conocida la identidad de estos, el interesado podrá interponer una denuncia por la cesión de datos a terceros sin su consentimiento (fuera de los casos en que si está permitida: Cuando la cesión este autorizada por una ley, cuando se trate de datos recogidos en fuentes de acceso público, etc.). Otro problema relacionado con el tratamiento de los datos, es el denominado "Scoring", que no es una herramienta informática que incorpora una serie de factores de riesgo relevantes cuya adecuada combinación entre sí, ofrece como resultado una puntuación que se asocia a la probabilidad de incumplimiento del pago de un crédito (de tal modo que cuanto mayor sea la puntuación obtenida mayor será la probabilidad de mora o incumplimiento). El principal riesgo que conlleva esta actividad es que no se lleve a cabo la disociación de los datos personales identificativos de los relativos al proceso anterior (grado de cumplimiento o incumplimiento de las obligaciones dinerarias así como de solvencia patrimonial y crédito.
Curso LOPD
31
Por lo tanto, para que esta herramienta sea empleada de forma legal es necesario que se produzca la citada disociación garantizando de esa manera el anonimato de la persona física identificada o identificable. De todos modos, cuando se emplee esta práctica, el afectado en el caso de denegación de la operación financiera solicitada, tendrá derecho a obtener información sobre el programa empleado y los criterios de valoración empleados. Por todo lo mencionado, es muy importante que las entidades financieras pongan atención especial a lo antes citado, ya que el incumplimiento puede conllevar: - La correspondiente sanción económica. - La posibilidad de que la opinión pública tenga conocimiento de la infracción cometida, con el correspondiente daño a la imagen y calidad de la entidad financiera
5.3 Los tratamientos con fines de publicidad y prospección comercial Regulación en el artículo 30 de la LOPD El tratamiento de los datos con fines de publicidad y de prospección comercial se trata de forma concreta en el artículo 30 de la LOPD, cuyas ideas fundamentales se recopilan a continuación: Las personas o entidades que se dediquen a la recopilación de direcciones, reparto de documentos, publicidad, venta a distancia, prospección comercial y otras actividades análogas (los más comunes son los departamentos de marketing), Únicamente utilizaran nombres y direcciones u otros datos de carácter personal cuando los mismos hayan sido obtenidos de: De los registros y las fuentes accesibles al público establecidos al efecto
De informaciones facilitadas por el interesado
Curso LOPD
32
Con su consentimiento
En el caso de que los datos personales hayan sido obtenidos de fuentes accesibles al público, en cada comunicaci6n que se dirija al interesado se informará del origen de los datos y de la identidad del responsable del tratamiento, así como de los derechos que le asisten, entre ellos el derecho de acceso y el derecho a oponerse al tratamiento de los datos que le conciernen. En el ejercicio del derecho de acceso los interesados tendrán derecho a solicitar y obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, el origen de los datos, así como las comunicaciones realizadas o que se prevean hacer con dichos datos. Los interesados tendrán derecho a oponerse, previa petición y sin gastos, al tratamiento de los datos que les conciernan, en cuyo caso serán dados de baja del tratamiento, cancelándose las informaciones que sobre ellos figuren en aquél a su simple petición. Regulación en la Instrucción 1/1998, de la AEPD: Además, los ficheros con fines de publicidad y prospección comercial se tratan en la ya citada Instrucción 1/1998, de 19 de enero, de la Agencia Española de Protección de Datos, relativa al ejercicio del derecho de acceso, rectificación y cancelación. Según la misma, el responsable del tratamiento estará obligado a garantizar los derechos antes mencionados, a la vez, que la entidad beneficiaria de esta actividad estará obligada a indicar al afectado la identidad del responsable del fichero del que provienen sus datos (será suficiente la inclusión de la citada información en la campaña publicitaria).
Curso LOPD
33
5.4 El censo promocional Antecedentes: La Ley 1/1996 de 15 de enero de Ordenación del Comercio Minorista calificaba como datos accesibles al público el nombre, apellidos y domicilio de las personas que contenía el Censo Electoral; sin embargo, la Ley Orgánica del Régimen Electoral General (LOREG) no contemplaba que el censo fuese una fuente accesible al público finalmente se consideró que prevalecía el criterio restrictivo sostenido por la Junta Electoral Central. Sin posibilidad por tanto, de utilizar el censo electoral, se coartaba enormemente la posibilidad de acceder a datos públicos de la gran mayoría de los españoles, por este motivo, el artículo 31 la LOPD estableció la figura del “censo promocional”. Definiciones: Antes de comentar el contenido del citado artículo recordaremos el concepto de fuentes accesibles al público según el artículo 3j) la LOPD “Aquellos ficheros cuya consulta puede ser realizada por cualquier persona, no impedida por una norma limitativa, o sin más exigencia que, en su caso, el abono de una contraprestación” Dentro de esta definición se incluye el censo promocional, al cual se le otorga un carácter ciertamente comercial (pues se trata de un bien básico para el mercado empresarial) a diferencia del concepto de consenso electoral. En el artículo 31.1 de la LOPD se define el censo promocional como "... el censo promocional, formado con los datos de nombre, apellidos y domicilio que constan en el censo electoral". Es decir, se podría considerar como un fichero elaborado a partir del censo electoral (datos de empadronamiento) por el Instituto Nacional de Estadística (INE, que es el organismo encargado de su gestión) o los órganos equivalentes de las Comunidades Autónomas y que puede ser cedido con fines comerciales a entidades privadas a cambio de una contraprestación (según la LOPD ésta se puede exigir cuando la mencionada lista se proporcione en soporte informático). Aunque el censo promocional está pendiente de desarrollo reglamentario (según la disposición transitoria segunda de la LOPD), es obvio que la cesión de datos a un
Curso LOPD
34
fichero privado generar6 unos gastos que en todo caso est6 previsto que se sufraguen por las empresas particulares que solicitan los datos al censo promocional (normalmente, empresas que se dedican a la recopilación de direcciones, reparto de documentos, publicidad, venta a distancia, prospección comercial y otras actividades similares). Usos: En relación a sus usos la LOPD establece que no se podrán usar los datos con una finalidad "incompatible" con la que fueron recogidos (artículo 4.2), abriendo la puerta a nuevos usos que mantenía cerrada la LORTAD al prohibir los usos "distintos". En el caso del censo promocional, por tanto, el use de datos electorales con fines comerciales debe considerarse como una actividad "compatible" con la recogida inicial de datos. Sin embargo, se trata de datos que una vez que han cumplido la finalidad para la que fueron recabados deber6n ser destruidos, aunque a este respecto la LOPD no establece como, ni con qué garantías.
Consentimiento previo y derechos del afectado: En referencia a la necesidad de recabar el consentimiento previo al tratamiento del afectado, mencionar que al tratarse de una base de datos pública El censo promocional constituye una excepción, inicialmente, a este consentimiento (artículo 6.2 de la LOPD) Además, no existe la obligación de informar al ciudadano si los datos son destinados a la actividad de publicidad o prospección comercial. De este modo, el Instituto Nacional de estadística (INE) puede facilitar nuestros datos (exigiendo normalmente una contraprestación) a las empresas de marketing directo sin solicitarnos nuestro consentimiento y estas pueden llenar nuestros buzones con publicidad personalizada, siempre y cuando informen en cada carta del origen de los datos, de la identidad, del responsable del tratamiento y de los derechos que le asisten. Estos datos suelen aparecer en letra pequeña en la parte inferior de las cartas publicitarias.
Curso LOPD
35
Regulación en la LOPD En lo referente al artículo 31 de la LOPD, en éste se recogen las siguientes disposiciones: Las empresas o entidades que pretendan realizar permanente o esporádicamente la actividad de recopilación de direcciones, reparto de documentos, publicidad, venta a distancia, prospección comercial u otras actividades análogas, podrán solicitar una copia del censo promocional al Instituto Nacional de Estadística (o de los órganos equivalentes de las Comunidades Autónomas).
Esta copia del censo promocional estará constituida por los siguientes datos: 1- Nombre. 2- Apellidos. 3- Domicilio que conste en el censo electoral. Los interesados podrán solicitar no aparecer en las listas del censo promocional mediante procedimientos que se regularán reglamentariamente. Entre estos procedimientos, que serán gratuitos para los interesados, se incluirá la exclusión de todos los datos personales que figuren en dicho listado, incluido el documento de empadronamiento. Trimestralmente se editará una lista actualizada del censo promocional, excluyendo los nombres y domicilios de los que así lo hayan solicitado. Se podrá exigir una contraprestación por la facilitación de la citada lista del censo promocional en soporte informático . Además, según el artículo 28 de la LOPD, las entidades encargadas del mantenimiento de los citados listados deberán atender la solicitud de exclusión de la información necesaria o de inclusión de la objeción al use de los datos con fines de publicidad o venta a distancia en un plazo de 10 días respecto de las informaciones que se realicen
Curso LOPD
36
mediante consulta o comunicaci6n telem6tica y en la siguiente edici6n del listado cualquiera que sea el soporte en que se edite. Como ya se ha mencionado, según la disposición adicional segunda de la LOPD será necesario que reglamentariamente se desarrollen los procedimientos de formación del citado censo, de oposición a aparecer en el mismo, de disposición a sus solicitantes, y de control de las listas difundidas. Problemas con el censo promocional Una de las grandes novedades introducidas por la LOPD en el ámbito de los ficheros privados es el denominado censo promocional, el cual suscito una gran polémica antes de su aprobación durante los debates parlamentarios, ya que se interpretaba que el censo electoral se convertía en una especie de censo promocional gratuito al alcance de quien quisiera para poder ser utilizado a efectos comerciales, durante un tiempo limitado, si el interesado no mostraba su disconformidad previa, es decir, siempre que se trate de datos de personas que voluntariamente han consentido su registro en el citado censo. El Congreso en pleno (prácticamente por unanimidad), ha reconocido los errores de la LOPD sobre la posibilidad que se utilicen los datos del censo electoral con fines comerciales sin consentimiento expreso del titular (ya que tras el consentimiento inequívoco se esconde un consentimiento tácito según el cual todo ciudadano acepta por defecto la utilización de sus datos si no indica lo contrario) y ha pedido al gobierno una modificación reglamentaria. Con este desarrollo reglamentario se pretendería, por tanto, establecer la obligatoriedad de obtener un consentimiento expreso del afectado, en el cual quede claro su voluntad de que sus datos pertenezcan a esa lista, es decir, que se entienda que el ciudadano acepta la utilización de sus datos sólo si da tal consentimiento de forma manifiesta.
5.5 Los códigos tipo Definición En una primera aproximación, se podrían definir como códigos deontológicos, de buena conducta o de práctica profesional, los cuales se conciben como un instrumento que favorece la aplicación de la Ley, que no resulta del todo fácil, en determinados sectores.
Curso LOPD
37
Esto se logra básicamente a través de la autorregulación, ya que el Código tipo incorpora normas y disposiciones que se adaptan al sector que se trate. Son por tanto, códigos de conducta para complementar, facilitar y estandarizar los sistemas de protección de datos personales. Dichos Códigos tipo o deontológicos hacen alusión a la política concreta del responsable del fichero (tanto de titularidad pública como privada, aunque se explican únicamente en este módulo destinado a los ficheros de titularidad privada para evitar repeticiones innecesarias) en cuanto a cómo llevará a cabo lo establecido por la Ley, pero con un valor añadido a la hora de establecer dichas prácticas, ya que las mismas irán más allá de la Ley otorgando una mayor efectividad a la hora de respetar los derechos del ciudadano en cuanto al tratamiento de sus datos de carácter personal. Regulación A día de hoy, los Códigos tipo se regulan en al artículo 32 de la LOPD, con secuencia de la transposición del artículo 27 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Directiva que los trata bajo la denominación de "Códigos de Conducta"). En concreto en el artículo 32 de la LOPD se dispone lo que sigue: 1. "Mediante acuerdos sectoriales, convenios administrativos o decisiones de empresa, los responsables de tratamientos de titularidad pública y privada así como las organizaciones en que se agrupen, podrán formular Códigos tipo que establezcan las condiciones de organización, régimen de funcionamiento, procedimientos aplicables, normas de seguridad del entorno, programas o equipos, obligaciones de los implicados en el tratamiento y use de la información personal, así como las garantías, en su ámbito, para el ejercicio de los derechos de las personas con pleno respeto a los principios y disposiciones de la presente Ley y sus normas de desarrollo".
2. "Los citados códigos podrán contener o no reglas operacionales detalladas de cada sistema particular y estándares técnicos de aplicación. En el supuesto de que tales
Curso LOPD
38
reglas o estándares no se incorporen directamente al código, las instrucciones u órdenes que los establecieran deberán respetar los principios fijados en aquel". 3. "Los Códigos tipo tendrán el carácter de códigos deontológicos o de buena práctica profesional, debiendo ser depositados e inscritos en el Registro General de Protección de Datos y, cuando corresponda, en los creados a estos efectos por las Comunidades Aut6nomas, de acuerdo con el articulo 41 El Registro General de Protección de Datos podre denegar la inscripción cuando considere que no se ajusta a las disposiciones legales y reglamentarias sobre la materia, debiendo, en este caso, el Director de la Agencia Española de Protección de Datos requerir a los solicitantes para que efectúen las correcciones oportunas". Por otro lado, mencionar que la inscripción y publicidad de los Códigos tipo se desarrolla en el artículo 9 del Real Decreto 1332/1994, de 20 de junio, por el que se desarrollan determinados aspectos de la Ley Orgánica 5/1992 (derogada LORTAD), actualmente vigente en todo lo que no se oponga a la LOPD. Códigos tipo inscritos en el RGPD En la actualidad, existen un total de once Códigos tipo inscritos en el Registro General de Protección de Datos. De estos once, durante el pasado año 2004 se han inscrito cuatro: - El de Odontólogos y Estomatólogos de España (fecha de inscripción: 12/07/04). - El de la Universidad de Castilla-La Mancha (fecha de inscripción: 14/07/04). - El de la Asociación Catalana de Recursos Asistencia-les (fecha de inscripci6n: 27/12/2004). - El del Sector de la Intermediación Inmobiliaria. Asociaci6n Empresarial de Gesti6n Inmobiliaria (fecha de inscripción: 29/12/2004).
El Código tipo de la Universidad de Castilla-La Mancha ha hecho que ésta se convierta en la primera institución pública española en implantar un código de conducta para la
Curso LOPD
39
protección de datos personales y, por lo tanto, en el primer Código tipo de carácter público inscrito frente a los privados que existen. Obligación de constituirlos En relación a la obligatoriedad de constituirlos, la LOPD contempla a estos códigos como una opción voluntaria para los responsables de tratamientos (públicos y privados), pero permitiendo al que quiera elaborar dicho código aplicar medidas que, respetando el espíritu y finalidad de la ley traten de aplicar una defensa aún más estricta que aquella a la que obliga la ley (se preservan, entre otros, los derecho a la intimidad, el honor y a la propia imagen, en relación a los datos personales). En algunos sectores, por ejemplo el sanitario, se plantean muchos problemas a la hora de aplicar la normativa de protección de datos, por lo que puede resultar de mucha ayuda para los responsables de este tipo de ficheros ampliar o especificar la regulación de protección de datos a las peculiaridades de su sector mediante la elaboración voluntaria de un Código tipo. Así, se dispone de un régimen homogéneo de protección de datos de carácter personal entre los miembros de este sector. Ventajas derivadas de su elaboración e inscripción La elaboración de los Códigos tipo conlleva múltiples ventajas, en particular: - De cara al ciudadano, consumidor o potencial cliente, ya que les ofrece una garantía muy importante al poder conocer qué empresas, organismos o instituciones están adheridas a ese código y, al mismo tiempo, estará dando la imagen de que el suscriptor del Código tipo pone un interés o esmero especiales a la hora de respetar los derechos de los mismos contemplados en la LOPD. -Ante la Agencia Española de Protección de Datos, pues dado que los Códigos tipo, como un fichero más, han de inscribirse en el Registro General de Protección de Datos, previo examen de los mismos, estaremos ante un conjunto de normas que, si pasan dicho examen, tendrán el visto bueno de la Administración. Mencionar también, que la AEPD pretende potenciar la elaboración de Códigos tipo, por su gran relevancia, en determinados sectores, debido a factores como:
Curso LOPD
40
-La singularidad del sector
-La sensibilidad de los datos tratados
-La población afectada
-Las tecnologías empleadas en el tratamiento de los datos, etc.
Procedimiento y lugar de inscripción Con carácter general, mencionar que todos los ficheros de titularidad privada se controlarán, en todo caso, por la Agencia Española de Protección de Datos, que también se ocupará de los tratamientos públicos de la Administración central del Estado y de las Administraciones autonómicas y locales, ya que, según la Ley, el Registro General de Protección de Datos debe incluir todos los ficheros que haya en España. Así, el Pleno del Tribunal Constitucional ha negado cualquier atribución sobre ficheros privados de su ámbito territorial a los órganos de las Comunidades Autónomas (en adelante CC.AA.), como se observa en la Sentencia del Tribunal Constitucional 290/2000 en la que se pronuncia sobre este tema. Hay que matizar, sin embargo, que en las CC.AA. en las que haya agencia autonómica de protección de datos (en la actualidad han sido ya constituidas tres: Agencia de la Comunidad de Madrid-1995, Agencia Catalana-2002 y Agencia Vasca-2004, y se
Curso LOPD
41
encuentran en proceso de creación en otras CC.AA), habrá, en su caso, que llevar a cabo también la inscripci6n en dichas agencias autonómicas de protección de datos, o en los registros correspondientes dependientes de las mismas, aunque como organismos autonómicos que son, solo se encargan de lo referido a la Administración que este bajo la jurisdicción de dicha Comunidad Autónoma, por tanto, no influirán para nada para los ficheros privados, aunque si, por el contrario, para aquellos de titularidad pública referidos a la Administración autonómica o local de dichas Comunidades. Para el caso particular de los Códigos tipo (públicos y privados), el procedimiento y lugar de inscripción de los mismos, hay que efectuarlo en el Registro General de Protección de Datos, con sede en Madrid y, cuando corresponda, en los creados a estos efectos por las CC.AA. En dicho RGPD el código será sometido a un examen cuya finalidad es que se ajuste a las normas y disposiciones legales y reglamentarias relacionadas con el mismo, pudiéndose denegar su inscripción cuando se considere que no se produce el mencionado ajuste, ante lo cual se requerirá al solicitante a fin de que subsane las deficiencias observadas. En concreto, la inscripción y publicidad de los Códigos tipo se desarrolla en el artículo 9 del mencionado Real Decreto 1332/1994, de 20 de junio, por el que se desarrollan determinados aspectos de la Ley Orgánica 5/1992 (derogada LORTAD), actualmente vigente en todo lo que no se oponga a la LOPD. Este artículo 9, en concreto, dice lo siguiente: 1. "Los Códigos tipo se depositarán, para su inscripción, en el Registro General de Protección de Datos”. 2. "El Director de la Agencia de Protección de Datos podrá denegar la inscripción si el Código tipo no se ajusta a las disposiciones de la Ley Orgánica 5/1992 y de/presente Real Decreto, sin perjuicio de requerir a los solicitantes para que subsanen las deficiencias"
3. "Los particulares podrán obtener copias de los Códigos tipo depositados e inscritos en el Registro General de Protección de Datos".
Curso LOPD
42
4. "En caso de incumplimiento de las normas contenidas en los Códigos tipo se estará a lo dispuesto al efecto en los acuerdos o decisiones que los formulen". Por su parte, el Real Decreto 428/1993, de 26 de marzo, por el que se aprueba el. Estatuto de la Agencia Española de Protección de Datos, establece en su artículo 8 que la "Agencia de Protección de Datos redactará una Memoria anual que comprenderá, entre otra información, una relación de los Códigos tipo depositados e inscritos en el Registro General de Protección de Datos".
5.6 Los ficheros temporales Definición La normativa sobre protección de datos de carácter personal no establece una definición concreta de fichero temporal, encontrando la única referencia a los mismos en el Real Decreto 994/1999 de Medidas de Seguridad, que establece las medidas que deberán ser adoptadas para la protección de este tipo de ficheros (las cuales ya hemos comentado en el Módulo 4 "El Documento de Seguridad"). No obstante, y a pesar de esta falta de definición, se puede entender por ficheros temporales aquellos ficheros cuyo objetivo es realizar un tratamiento de datos concreto durante un periodo de tiempo limitado. En las empresas se generan habitualmente multitud de ficheros temporales (que al igual que los Códigos tipo pueden ser de titularidad privada o pública, pero para evitar repeticiones innecesarias solo los explicaremos en este modulo dedicado a los ficheros de titularidad privada) que responden a tratamientos concretos, y que, por tanto, dejan de ser necesarios en un corto periodo de tiempo.
Curso LOPD
43
EN LA SIGUIENTE TABLA SE RECOGEN ALGUNOS SUPUESTOS:
Los creados con una fecha concreta de extinción
Los ficheros generados en la realización de determinadas acciones de marketing, promoción, concursos, etc.
Los creados tras la extracción Si una empresa pretende realizar una promoción entre un determinado grupo de clientes, la práctica habitual de determinados datos es la extracción de los datos del cliente que se encuentran es rango a una base de datos creado al de bases de datos más efecto, generalmente ofimática, con la finalidad de amplias facilitar la realización de la promoción: mailing, envío de invitaciones, etc.
Los que actúan como puente Los generados en las campañas de captación de hasta el almacenamiento en el potenciales clientes, finalizada la cual y, en base a los resultados, son incorporados a la base de datos fichero corporativo. corporativa.
Curso LOPD
44
Inscripción de los ficheros temporales La LOPD no establece en ninguna de sus disposiciones una referencia a la inscripción de los ficheros temporales, ni en lo relativo a la obligatoriedad de inscripción, ni en sentido contrario. De este modo, se puede entender que a pesar del carácter temporal de esta clase de ficheros es necesaria su inscripción en la Agencia Española de Protección de Datos cuando vaya a crearse el mismo y su supresión cuando éste sea eliminado (mediante el procedimiento indicado en base a la titularidad del mismo). Esta inscripción, no obstante, puede entenderse exceptuada en aquellos casos en que la creación de ficheros temporales haga referencia a acciones muy concretas que vayan a realizarse en plazos muy cortos de tiempo. Problemas derivados de la creación de ficheros temporales Uno de los principales problemas, en relación a este tipo de ficheros, se basa en la dificultad para controlar la creación por parte del personal de pequeños ficheros que albergan datos personales procedentes del fichero corporativo con el fin de realizar actuaciones puntuales. De este modo la creación de ficheros temporales puede suponer:
La dispersión de ficheros de datos personales en los discos duros de los empleados, de tal modo que éstos no están protegidos por las medidas de seguridad que se encuentran implantadas en el servidor central.
Las faltas de actualización de los datos personales albergados debido a la existencia de diversos ficheros corporativos o temporales que alberguen los mismos datos.
Problemas que conllevan graves perjuicios al responsable del fichero, tanto por incumplimiento de la normativa aplicable, como por la pérdida de información, etc.
Curso LOPD
45
Soluciones a los citados problemas En el caso de la dispersión de ficheros de datos personales en los discos duros de los empleados, se ha de concienciar al personal (mediante una adecuada formación o a través de la formulación de adecuadas políticas de seguridad en la materia) de la necesidad de seguir las pautas y procedimientos establecidos para la protección de los datos y la información corporativa. Como ejemplo, se puede citar la creación de los ficheros temporales dentro de una carpeta albergada en el servidor de la empresa, de tal forma que 6ste se encuentre también cubierto por las medidas de seguridad y procedimientos establecidos por la empresa. Por otro lado, para impedir la desactualización de los datos albergados en los distintos ficheros, se pueden implantar diversas soluciones (de naturaleza informática) que permitan la vinculación y relación entre ficheros y, de ese modo, la actualización simultanea de todos los ficheros que contengan los mismos datos.
¡FIN DEL TEMA CINCO!
Curso LOPD
46
Curso LOPD
47