8. Las obligaciones en materia de protección de datos 1. Introducción La LOPD ha convertido el derecho a la protección de los datos carácter personal en un derecho fundamental de las personas, derecho que guarda una estrecha relación con el derecho a la intimidad y al honor recogido en el artículo 18 de la Constitución Española. Este derecho adopta la denominación de autodeterminación informativa, protegiendo el “control que cada una de las personas les corresponde sobre la información que les concierne personalmente, sea íntima o no, para preservar el libre desarrollo de su personalidad". Esta Ley Orgánica establece una serie de obligaciones en aras a la protección de los datos personales contenidos en los ficheros o tratamientos. Sin embargo, antes de iniciar el desarrollo de las principales obligaciones de las empresas, profesionales y demás entidades públicas y privadas en la materia, conviene resaltar, en primer lugar, la titularidad de dichas responsabilidades. De este modo se configura el denominado como "responsable del fichero o tratamiento", que es pues la persona que decide qué, quién, cómo, cuándo y dónde se va a llevar a cabo el tratamiento de los datos personales y que al mismo tiempo, responde administrativa, civil e, incluso penalmente, de las posibles infracciones que en relación a las obligaciones derivadas del tratamiento de los datos personales puedan cometerse. También es importante determinar la naturaleza pública o privada del titular del fichero, ya que según la misma se va a determinar la naturaleza pública o privada de los ficheros de los que son responsables, puesto que el régimen jurídico en uno y otro caso presenta sus propias particularidades. En relación a la titularidad de estas obligaciones, mencionar que una de las modificaciones más importantes que se ha introducido con la LOPD en relación a la derogada LORTAD, ha sido la configuración del denominado como "encargado del
CURSO LOPD
1
tratamiento", el cual asume plenamente las disposiciones de la Ley y su cumplimiento, de tal modo que queda vinculado a las todas las obligaciones legales, igual que el responsable del tratamiento, por lo que se le podrán exigir responsabilidades por las infracciones cometidas en la materia, con los mismos efectos y en los mismos términos que at responsable del fichero. En concreto, la LOPD regula esta figura en su artículo 12 relativo al acceso de datos por cuenta de terceros, estableciendo las siguientes obligaciones para el encargado del tratamiento: - La realización de tratamientos por terceros debe estar regulada por un contrato (conocido como de outsourcing) que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración o contenido. - El encargado del tratamiento solo tratará los datos según las instrucciones del responsable. - Este no los aplicará o utilizará con fines distintos, ni los comunicará a terceros, ni siquiera para su conservación. - El contrato contendrá las medidas de seguridad que deben observarse en el tratamiento de los datos, tanto por el responsable del fichero, como por el encargado. - Será considerado también responsable del tratamiento y por ello responderá de las infracciones en que hubiera incurrido personalmente cuando destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato (también deberá indemnizar por los daños y perjuicios ocasionados como consecuencia de su actuación). A su vez en el artículo 43.1 de la LOPD se establece que el encargado del tratamiento "estará sujeto al régimen sancionador establecido en la esta Ley". Otra figura que se cita en relación a la protección de datos, pero en este caso en el Reglamento de Medidas de Seguridad es el "responsable de seguridad", cuya finalidad es la de controlar/ coordinar el cumplimiento de las medidas de seguridad, pero al que, a diferencia del encargado del tratamiento, se exime de toda responsabilidad, correspondiendo la misma at responsable del tratamiento. Se trata pues, de una figura que no decide sobre determinados aspectos relacionados con la seguridad, sino que
CURSO LOPD
2
evalúa y valora la situación de la seguridad de los sistemas y los datos, pero correspondiendo siempre la decisión final al propio responsable del tratamiento. Después de este inciso aclaratorio, se van a citar las principales obligaciones impuestas por la LOPD que se pueden resumir a grandes rasgos como se indica en la siguiente tabla:
Obligaciones Legalización Legitimación
Protección
Gestión
Todos los ficheros de datos de carácter personal deberán estar inscritos y legalizados ante la AEPD. Todos los datos de carácter personal recogidos por la organización han de cumplir con los "Principios básicos" y con los "Derechos de las personas". Se han de adoptar las medidas de seguridad que garanticen la seguridad de los datos de carácter personal, las cuales se relacionan en la LOPD y el Reglamento de Medidas de Seguridad en base al nivel de seguridad exigible, así como llevar a cabo la redacción del Documento de Seguridad (el cual recogerá todas las medidas de seguridad adoptadas) y la redacción de los contratos y las cláusulas de seguridad necesarias para la recogida de los datos, tratamientos pro terceros y cesiones de datos. Es muy importante que se lleve a cabo una adecuada implantación de la protección de datos, para lo cual va a ser necesaria, entre otras, la formulación de una política de privacidad y la adecuada concienciación y formación del personal en la materia.
La gran mayoría de estas responsabilidades han sido ya tratadas con un mayor detenimiento en anteriores módulos, por lo que algunas de ellas sólo se comentarán brevemente
CURSO LOPD
3
A su vez, conviene indicar que muchas de las obligaciones indicadas se convierten en auténticos derechos cuyo cumplimiento, por tanto, puede reclamar el interesado o afectado como garantías previstas para lograr su privacidad. Por último, señalar que el cumplimiento de estas obligaciones tan sólo exige un pequeño esfuerzo por parte de las empresas, profesionales y demás entidades privadas y públicas, que de este modo evitarán la imposición de duras sanciones económicas, así como grandes ventajas de tipo competitivo.
2. Legalización Dentro de las obligaciones establecidas en la LOPD, se incluye la de legalizar los ficheros de tratamiento de datos de carácter personal de los que se es responsable, pero para llevar a cabo la misma es necesario primero llevar a cabo una adecuada identificación de todos los ficheros preexistentes, en segundo lugar, la determinación de los ficheros sobre los que existe la obligación legal de notificación a inscripción (legalización), tanto de los preexistentes como de los nuevos y, por último, llevar a cabo la misma. En los siguientes apartados se comenta con mayor detalle cada uno de estos puntos, aunque el último, relativo a la notificación e inscripción registral se hará de forma breve al haber sido desarrollado en el modulo 5 y 6 del presente curso.
2.1 Identificación y determinación de los ficheros Previamente a la notificación e inscripción de los ficheros es necesario localizar los ficheros existentes en la empresa o entidad, analizando la finalidad para la que son tratados los datos, el origen de los datos, el sistema de almacenamiento de los mismos, etc. y con esta información realizar un inventario de todos los ficheros preexistentes. Para ello es conveniente recordar lo que la LOPD entiende por fichero: "todo conjunto organizado de datos de carácter personal, cualquiera que sea la forma o modalidad de su creación, almacenamiento, organización y acceso". Según la misma, se considerará fichero a aquel conjunto de datos personales que estén organizados de una manera
CURSO LOPD
4
lógica, de modo que se pueda tratarlos con determinadas finalidades, con independencia de los criterios empleados para su organización, de la aplicación que se haya empleado para crear dicho fichero y de los criterios de búsqueda y acceso a dichos datos. Para la realización de dicho inventario es necesario estudiar básicamente la siguiente información:
Departamentos afectados que por su actividad traten datos de carácter personal (Recursos. humanos, Marketing, financiero, etc.) Origen de los datos tratados. Finalidad del tratamiento. Datos recabados para cada finalidad. Tratamientos realizados.
Una vez que hemos realizado esta localización se debe proceder a agrupar los ficheros, normalmente en base a: - Su finalidad (siempre ha de ser una finalidad compatible) - Determinación del nivel de seguridad (al agruparlos hay que mantener el nivel de seguridad del fichero que tenga el nivel de seguridad más alto) - Transferencias internacionales de datos, etc. Con esta agrupación al final nos han de quedar ficheros de tal modo que contengan el mismo tipo de datos y que sean tratados para una misma finalidad o finalidades compatibles.
CURSO LOPD
5
2.2. Notificación e inscripción registral Se establece la obligación de inscribir los ficheros con datos de carácter personal en el Registro General de la Protección de Datos (en adelante RGPD) según el artículo 26 de la LOPD y artículos 5 y 6 del Real Decreto 1332/1994, de 20 de junio. En el artículo 26.1 de la LOPD se establece como norma general que "toda persona o entidad que proceda a la creación de ficheros de datos de carácter personal lo notificará previamente a la Agencia Española de Protección de Datos". Según esto, es un requisito imprescindible para la creación de nuevos ficheros la previa inscripción en el Registro de la AEPD. Como el objeto, principios y procedimiento de notificación, inscripción, modificación y supresión de ficheros ya se han comentado en anteriores módulos, tanto para los ficheros de titularidad pública como privada, no se volverán a repetir. En lo referente a las obligaciones del titular del fichero en esta materia, ya sea el fichero de titularidad pública, ya sea de titularidad privada, pesa el deber de inscripción del mismo, teniendo dicha inscripción un carácter meramente declarativo, pero en ningún caso implica una valoración o fiscalización de la información que se facilita por parte de la AEPD, por lo que con el registro no se obtiene ninguna declaración respecto de la legalidad del tratamiento ni implica una exención de responsabilidad. Sin embargo, en base a la titularidad del fichero, la inscripción del mismo y el alcance de este deber va a variar, debiéndose distinguir: - Ficheros de titularidad privada: Siempre se inscriben en el Registro General de la Protección de Datos (RGPD), dependiente de la Agencia Española de Protección de Datos. - Ficheros de titularidad pública: En este caso hay que distinguir si son ficheros titularidad de Administraciones públicas estatales, en cuyo caso la inscripción deberá realizarse solo en el RGPD, o si los ficheros corresponden a Administraciones autonómicas y locales, en cuyo caso deberán inscribirse ademes en los registros creados a estos efectos por los Órganos correspondientes de las Comunidades Autónomas, siempre que hayan sido creados (hasta la fecha, solo han sido constituidas la Agenda de la Comunidad Autónoma de Madrid, de Cataluña y del País Vasco).
CURSO LOPD
6
3. Legitimación En este apartado se muestran las obligaciones en materia de protección de datos para garantizar los principios besicos y los derechos de las personas en materia de protección de datos. Como estos dos aspectos (los derechos de las personas y los principios en la materia) ya han sido comentados con anterioridad, en los siguientes apartados se desarrollaren solo los aspectos más relevantes de estas responsabilidades para no caer en repeticiones innecesarias.
3.1 Calidad de los datos La calidad de los datos hace referencia a que éstos son recogidos para una concrete finalidad o finalidades compatibles, por lo que no podrán ser destinados por el responsable del fichero a finalidades incompatibles. La finalidad también nos permite reconocer qué fichero es al que deben dirigirse los interesados para ejercitar algunos de los derechos que tienen reconocidos por la Ley: Los derechos de acceso, rectificación, cancelación y oposición. Al principio de calidad y contenido de los datos que nos son solicitados responde pues el deber de dar información previa a la recogida de los mismos. Según el artículo 4 de la LOPD es muy importante para todas las empresas o entidades que los datos que tratan y almacenan se encuentren actualizados; la no actualización de los datos puede suponer costes económicos importantes ya que disminuye la eficacia en la toma de decisiones, acciones comerciales, nuevos productos o, simplemente, para el seguimiento/ mantenimiento de relaciones contractuales. La Ley establece unos principios generales de calidad tendentes a garantizar un uso adecuado de los datos, determinandobásicamente que los datos personales:
CURSO LOPD
7
Deben adecuarse a la finalidad para la que fueron recabados o a finalidades compatibles Significa que los datos sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para los que se hayan obtenido. La adecuación de los datos se relaciona expresamente con las finalidades para las que se han recabado los datos, por lo tanto, si las finalidades del tratamiento cambian, los datos deberán ser cancelados. Por ejemplo, si recogemos datos para la participación en un concurso, dichos datos no los podremos destinar luego a finalidades distintas o incompatibles, como podría ser la prospección comercial. Por ello, es importante que a la hora de recoger los datos se determinen en las cláusulas de información todas las finalidades a las que se van a destinar los datos. Un ejemplo de la información a proporcionar al interesado, a través de una Cláusula incluida en un formulario de recogida de datos, podría ser la siguiente: "De conformidad con la LOPD y a través de la cumplimentación del presente formulario, usted presta su consentimiento para el tratamiento de sus datos personales facilitados, que serán incorporados al fichero "XXXXXXX; titularidad de la Empresa "XXX'; inscrito en el Registro XXXXX'; cuya finalidad es la gestión fiscal, contable y administrativa de la relación contractual, así como el envío de información comercial sobre nuestros productos y servicios" "Igualmente le informamos que podrá ejercer los derechos de acceso, rectificación, cancelación y oposición establecidos en dicha LOPD a través de carta certificada, adjuntando fotocopia de su DNI/Pasaporte, en la siguiente dirección: Empresa “XXX” "Departamento de "Atención al Cliente". Calle "XXXXXX" n° 'X" Código postal "XXXXX” de "X".
Deben ser exactos y actualizados Lo cual indica que los datos tienen que ser exactos y puestos al día de forma que respondan con veracidad a la situación actual del interesado. Ello no significa que las
CURSO LOPD
8
empresas deban mantener exactos los datos cuando no dispongan de medios para conocer la exactitud/veracidad de los datos, pero, en el momento en que tienen conocimiento de la inexactitud de un dato, deben proceder a actualizarlo. Así, la corrección/actualización de los datos tratados puede realizarse: - Por el responsable del fichero de oficio, cuando conozca dicha inexactitud. - Por el propio interesado a través del ejercicio del derecho de rectificación de los datos. En cuanto a datos recabados de fuentes accesibles al público (repertorios telefónicos, boletines oficiales, etc.) se mantiene esta obligación de exactitud y veracidad; sin embargo, conviene indicar que no es obligación del responsable del fichero comprobar si los datos publicados en dichas fuentes son exactos o inexactos, aunque si se conociese dicha inexactitud debe procederse a la actualización.
No deben mantenerse indefinidamente sin justificación El articulo 4.5 dispone que "Los datos de carácter personal ser6n cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad pare la cual hubieren sido recabados a registrados". Así, la conexión entre los datos y la finalidad que motivó producirá directamente por el responsable del fichero en el momento en que el dato no sea necesario, sin perjuicio de la posibilidad que tiene el afectado de ejercer el derecho de cancelación. En el caso de que alguna obligación legal establezca la necesidad de conservar los datos una vez concluida la finalidad que motive) su recogida, el responsable del fichero podrá conservar los datos a través del bloqueo del dato o previo proceso de disociación. Recordemos en qué consisten estos dos procesos: - El bloqueo de los datos. La LOPD establece en el artículo 16.3. que "La cancelación dará lugar al bloqueo de los datos, conservándose únicamente a disposición de las Administraciones Públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas de/tratamiento, durante la prescripción de éstas. Cumplido el citado plazo deberá procederse a su supresión". A su vez el artículo 16.5. establece que "Los datos de carácter personal deberán ser conservados durante los plazos
CURSO LOPD
9
previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre la persona o entidad responsable del tratamiento y el interesado". - Procedimiento de disociación. Se puede definir como todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable. Aunque parece complicado, en la práctica se trata, en el caso de ficheros automatizados, en la disociación de las tablas y campos que constituyen el fichero, de manera que no sean relacionables los datos o informaciones obtenidas con una persona identificada o identificable. La utilización no abusiva de los datos impide que los datos se usen para finalidades incompatibles o distintas con aquellas para las que hubiesen sido recogidos, si bien no se considera incompatible el tratamiento posterior de éstos datos con fines históricos, estadísticos o científicos, pero en este caso podrán ser utilizados y mantenidos siempre que se conserven de forma anónima o a través del citado proceso de disociación.
Deben ser almacenados de tal forma que se permita el ejercicio del derecho de acceso, salvo que sean legalmente cancelados El derecho de acceso consiste en la facultad que tiene el afectado de solicitar y obtener, de manera gratuita y en un plazo determinado, la información sobre sus datos sometidos a tratamiento, las comunicaciones que se han realizado y las cesiones realizadas, principalmente. Este derecho se ha desarrollado con más profundidad en el anterior módulo.
Deben haber sido recogidos de forma lícita Se prohíbe la recogida de los datos personales por medios fraudulentos, desleales o ilícitos.
3.2 Información Otra importante obligación que el responsable del fichero ha de cumplir, en el momento de efectuar la recogida de los datos personales, es el relativo al deber de información, conforme al cual el responsable del fichero ha de informar al interesado o afectado, como mínimo y de forma expresa, precisa e inequívoca, de la existencia del fichero, del
CURSO LOPD
10
tratamiento que se vaya a realizar con los datos recogidos, la finalidad de la recogida, el carácter obligatorio o facultativo de las respuestas, las consecuencias de la obtención de los datos o su negativa a suministrarlos, los derechos que asisten al interesado, asi como de Ia identidad del responsable del fichero y la direcci6n donde poder ejercer los derechos reconocidos (o del representante). A su vez la LOPD establece que toda esta información deberá ser incorporada, en forma claramente legible a todos aquellos formularios, cupones, cuestionarios o impresos en los que se proceda a la recogida de datos. También debe incorporarse esta información en los contratos que se suscriben, con la finalidad de informar sobre el tratamiento que se va a realizar de los datos de clientes, proveedores o personal laboral. Se trata pues de un deber inexcusable que se convierte en una garantía más y que supone un reflejo del espíritu de lealtad y buena fe que debe regir las relaciones entre el responsable del fichero y los interesados. El deber de información es, por tanto, un deber inexcusable, independiente del tipo de fichero y del responsable del tratamiento. Sin embargo, puede suceder que los datos personales no hayan sido recabados directamente del interesado, en cuyo caso el responsable cuenta con un plazo de tres meses, contados desde la fecha del registro, para informar al interesado del contenido del tratamiento, de la procedencia de los datos y de los términos que se indican en el las letras a), d) y e) del artículo 5.1 de la LOPD. A su vez, la Ley determina en su artículo 5.5 una serie de excepciones a esta obligación de informar cuando los datos hayan sido recabados de terceros, estas son: Cuando se le haya informado con anterioridad, por la empresa que recabo originariamente los datos. - Cuando así lo prevea expresamente una Ley. - Cuando el tratamiento tenga fines históricos, científicos o estadísticos. - Cuando, a criterio de la AEPD, resulte imposible o exija un esfuerzo desproporcionado realizar tal comunicación, siempre atendiendo al número de interesados, antigüedad de los datos y a las posibles medidas compensatorias. Un caso pudiera ser la exención de las oficinas de Farmacia (responsables del tratamiento de datos personales de médicos
CURSO LOPD
11
que prescriben recetas médicas) de informar a éstos de la existencia del fichero, por tratarse de un amplio número de interesados. Por lo tanto, en el caso de que los datos no hayan sido obtenidos directamente del afectado, sino a través de terceros, se debe comprobar que la empresa que nos cede los datos ha cumplido con el deber de información, sino deberemos comunicar al interesado en el plazo antes indicado lo siguiente: - El contenido del tratamiento. - La procedencia de los datos. - De la existencia de un tratamiento, de la finalidad de la recogida y de los destinatarios de la información. - De la posibilidad de ejercitar sus derechos de acceso, rectificación, cancelación y oposición. - De la identidad y dirección del responsable del tratamiento o, en su caso de su representante. En el caso concreto de que los datos procedan de fuentes accesibles al público (repertorios telefónicos, guías profesionales, etc.) y se destinen a la actividad de publicidad o prospección comercial, se debe informar al interesado en cada comunicación que se le realice de: - El origen de los datos. - La identidad y dirección del responsable del fichero, las finalidades del tratamiento. - La posibilidad del ejercicio de los derechos de acceso, rectificación, cancelación y oposición. El incumplimiento del deber de información en la recogida de los datos está tipificado como una infracción en la LOPD (de carácter leve si la recogida de los datos de carácter personal se realiza de los propios afectados, siendo considerada como grave si los datos fueron recabados de persona distinta del interesado).
CURSO LOPD
12
3.3 Consentimiento Disposiciones generales: Cuando una empresa decide recabar datos de carácter personal debe, para poder tratarlos, recabar previamente el consentimiento de la persona que los cede. Ese consentimiento no se basa en que se den los datos, sino en que se sea consciente de dicha cesi6n, por ello, se exige (existen excepciones) que la persona que da sus datos lo manifieste, y que ese consentimiento se informado. Respecto al deber de recabar el consentimiento, y como regla general, se exige que el mismo sea inequívoco, que no haya lugar a dudas de que el mismo ha sido prestado (salvo que una ley disponga otra cosa), si bien se admiten las siguientes modalidades en su prestación: - El consentimiento tácito, que es la regla general. - El consentimiento expreso, que es el previsto para aquellos tratamientos que tienen por objeto datos personales de una mayor sensibilidad (origen racial, la salud y la vida sexual) que según at articulo 7.3 solo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una ley o el afectado consienta expresamente. - El consentimiento expreso y por escrito en el caso de los datos que revelen la ideología, afiliación sindical, religión y creencias. Se exceptúan los ficheros mantenidos por partidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y otras entidades sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, en cuanto a los datos relativos a sus asociados o miembros, sin perjuicio de que la cesión de dichos datos precisará siempre el previo consentimiento del afectado (artículo 7.2 de la LOPD). Según lo anterior, salvo en los casos en los que la LOPD exige consentimiento expreso o consentimiento expreso y por escrito (articulo 7 LOPD), la regla general es el consentimiento inequívoco, pudiendo este ser tácito. Hay que señalar que el consentimiento general exigido por la Ley va íntimamente ligado a la obligación de informar, a la hora de la recogida de los datos, de los extremos señalados en el articulo 5 (derecho de información en la recogida), puesto que entiende la Ley que a partir de
CURSO LOPD
13
dicha información el afectado es consciente y toma conocimiento de la existencia del tratamiento que se va a realizar, las finalidades y los derechos que le asisten.
Excepciones al consentimiento: Como excepción a la norma general de recabar el consentimiento se establece la autorización legal, la cual implica que, bien la propia LOPD, bien otros textos legislativos, autorizan la posibilidad de un tratamiento de los datos personales (y, por ello, el nacimiento de la relación jurídica objeto de protección por la LOPD) sin necesidad de contar con el consentimiento del afectado o interesado. Los supuestos en los que, mediante disposición legal se autoriza el nacimiento de la relación jurídica objeto de protección por la LOPD, se convierten en verdaderas excepciones, encontrándose amparados por circunstancias, motivos o justificaciones que, examinados caso por caso (deberán ser objeto de interpretación y aplicación restrictiva, valorándose las circunstancias de cada caso particular), determinan que la privacidad de los individuos, sus datos personales, deban quedar relegados a un segundo plano para atender, en primer lugar, a otros intereses o bienes jurídicos, igualmente dignos de protección, ante los que deben ceder. Por tanto, el deber de obtener el consentimiento del afectado no es un bien absoluto, que no deba ceder ante nada. En concreto, se fijan una serie de excepciones a la obtención del consentimiento previo en el artículo 6.2 de la LOPD. Éstas son básicamente: - Tratamiento realizados por Administraciones Públicas en el ejercicio de sus competencias propias. - Tratamientos realizados dentro del mantenimiento de una relación precontractual, contractual, laboral o administrativa. Es difícil entender una relación negocial o laboral que no exija, en sí misma, el tratamiento de los datos personal (ya sea para la facturación, contabilidad, gestión, realización de nóminas, etc...). Pero, en estos casos, es recomendable que al inicio de la relación (firma de contratos), se incorporen cláusulas de información en las que se informe y recabe el consentimiento para el tratamiento de dichos datos.
CURSO LOPD
14
- Protección de un "interés vital” del interesado, en el supuesto de que el afectado esté física o jurídicamente incapacitado para dar su consentimiento. - Cuando procedan de fuentes accesibles al público. No será necesario el consentimiento del afectado cuando el tratamiento sea necesario para la satisfacción de un interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado (casos de publicidad y prospección comercial, principalmente). También, en la LOPD se autoriza la posibilidad de tratar datos personales especialmente sensibles cuando ello resulte necesario para la prestación de asistencia sanitaria o se trate de proteger un interés vital del interesado, sin necesidad de recabar el con sentimiento del interesado (artículo 7.6).
Revocación del consentimiento: El artículo 6.3 establece que "El consentimiento a que se refiere el artículo podrá ser revocado cuando exista causa justificada para ello y no se /e atribuyan efectos retroactivos". La ley establece que el consentimiento padre ser revocado cuando exista "causa justificada", así y en este sentido se aplica para los casos de cesión de datos o cuando los datos se destinen a fines promocionales y/o publicitarios. Sin embargo, en aquellos casos en los que el tratamiento de los datos viene derivado del mantenimiento de una relación negocial, administrativa, fiscal o laboral, el consentimiento al tratamiento de los datos no podre ser revocado sin que se alegue por afectado una raz6n justa que fundamentos la misma.
Oposición del afectado: Se establece por la Ley que en aquellos casos en que no sea necesario el consentimiento del afectado para el tratamiento de los datos y siempre que no se disponga por ley lo
CURSO LOPD
15
contrario, el afectado podrá oponerse al tratamiento de sus datos "cuando existan motivos fundados y legítimos relativos a una concreta situación personal". En tales casos, el responsable del tratamiento excluirá del tratamiento los datos relativos al afectado, constituyendo de esta manera una garantía que posibilita que la privacidad de los individuos no quede absolutamente al descubierto ante la falta de recabación del consentimiento. En el caso de los datos obtenidos de fuentes accesibles al público y cuyo tratamiento sea para fines promocionales y publicitarios (30.4 de la LOPD) la oposición podre ser total, sin embargo, en aquellos casos en los que el tratamiento venga del mantenimiento de una relación contractual, administrativa, laboral, etc. el afectado podrá oponerse a un tratamiento comercial o promocional de sus datos, pero no a los tratamientos que se realicen para el mantenimiento o cumplimiento de la citada relación.
3.4 Deber de secreto Entre las distintas obligaciones que la normativa obliga a cumplir al responsable del fichero y a todo aquel que intervenga en cualquier fase del tratamiento (encargados de tratamientos y responsables de seguridad, etc.), el de guardar secreto se configura como un deber de carácter esencial y elemental. A este respecto, el empresario tiene la libertad de calificar como confidencial, cualquier documento o información, que a su juicio, influya directa o indirectamente en el desarrollo del negocio: Estrategias empresariales, métodos de negocio, documentos contractuales, propiedad intelectual, patentes, proyectos de I+D, etc. En concreto, la LOPD establece en su artículo 10 que el responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos, obligación que subsiste incluso terminada la relación con el titular del fichero o el responsable del mismo. Según lo anterior, la Ley establece una obligación de amplio alcance que pretende abarcar no sólo al responsable, sino a todo aquel que tenga acceso a los tratamientos de datos en el desarrollo de sus funciones, extendiéndose dicha obligación incluso terminada y extinguida la relación jurídica que dio lugar al tratamiento de los datos. Un incumplimiento de este deber, es el caso de que una determinada estrategia empresarial tendente a posicionar en el mercado una determinada empresa, sea filtrada previa y
CURSO LOPD
16
fraudulentamente a la competencia, impidiendo de ese modo al empresario la consecución del posicionamiento deseado. Además, esta obligación fijada por la Ley se ve complementada por el deber profesional de confidencialidad y secreto descrita en el artículo 5. a) del Estatuto de los Trabajadores, la cual se mantiene vigente hasta la finalización de la relación laboral. La experiencia, sin embargo, ha determinado la necesidad de fijar el plazo de vigencia en función de la mayor o menor sensibilidad de los datos y la mayor o menor importancia de los mismos, extendiéndose de ese modo este deber de secreto durante el período de tiempo en el que los derechos del interesado puedan verse dañados si dicho deber resulta vulnerado o infringido. Para garantizar el cumplimiento del deber de secreto, se puede establecer que: - Todo el personal que trate o acceda a los ficheros de datos de carácter personal no deberá ni podrá divulgar a terceras personas que no deban tener acceso a dicha información, los datos que maneja en el desempeño de sus funciones. - Se deberán adoptar todas las medidas de índole técnica y organizativa que aseguren y garanticen de ese modo la no filtración o acceso a la misma por parte de terceros no autorizados. Entre las mismas se pueden citar: Limitar el acceso a la información confidencial, establecer medidas técnicas que permitan la visualización o tratamiento de información confidencial (contraseñas, criptografía, etc.), mantener la información confidencial en soporte papel en armarios cerrados bajo llave, etc. - De existir un acceso a la información confidencial por terceros, se ha de establecer la obligación de su devolución en el momento en que termine la relación contractual. Esta obligación permanecerá vigente durante el plazo que se establezca por acuerdo (normalmente se establece un plazo de 2 años). También, para mantener la confidencialidad se han de elaborar los denominados acuerdos o pactos de confidencialidad internos, los contratos de outsourcing (en el caso de que la información sea tratada por terceros), la inclusión de cláusulas de seguridad en los contratos, etc.
CURSO LOPD
17
3.5 Movimiento de los datos El movimiento de los datos se trató con mucho detenimiento en el modulo 3 y 4 del presente curso, por lo que solo se van a citar muy por encima las obligaciones relacionadas con el mismo. En este apartado se va a desarrollar tanto la comunicación de datos a terceros como el acceso a los datos por cuenta de terceros (no trataremos el movimiento internacional de datos). Comunicación o cesión de datos a terceros: Ya se hizo referencia, al tratar el deber de obtener el consentimiento, que la cesión de los datos no era sino un tipo de tratamiento, sobre el que la LOPD hace un especial hincapié, indicando, como regla general, que los datos solo podrán ser comunicados a un tercero, para el cumplimiento de fines directamente relacionados con las funciones legitimas del cedente y cesionario, con el previo consentimiento del interesado, por lo que, una vez más, el consentimiento se muestra como requisito fundamental para la legitimidad de la comunicación de los datos. Entre las excepciones en las que puede prescindirse de dicho consentimiento, la LOPD señala las siguientes: Cuando una ley lo autorice expresamente, cuando se trate de datos obtenidos de fuentes accesibles al público, o cuando el cesionario de la información sea alguno de los órganos indicados en el mencionado artículo, cuando la cesión tenga lugar entre Administraciones públicas y tenga por objeto un trato de los datos con fines históricos, estadísticos o científicos, entre otros. Igualmente, la LOPD prevé que si la cesión o comunicación de los datos va precedida de un procedimiento de disociación, no sería necesario obtener el consentimiento del interesado o afectado para efectuar esa cesión o comunicación. Igualmente, como regla general, aunque con posibilidad de ser excepcionada, la LOPD indica que en el caso de que los datos personales no sean recabados del interesado, el responsable del fichero, dentro de los tres meses siguientes al momento del registro de los datos, deberá informarlo (salvo que ya hubiera sido informado con anterioridad) del contenido del tratamiento, de la procedencia de los datos, así como de lo previsto en las letras a), d) y e) del artículo 5.1.
CURSO LOPD
18
Acceso a los datos por cuenta de terceros: En lo relativo al acceso a los datos por terceras personas, es conveniente recordar que la LOPD establece que no se considerará comunicación de datos el acceso de un tercero a datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del fichero. A su vez, establece que dicha relación ha de estar regulado por un contrato, en el que se establecerá que el encargado del tratamiento sólo utilizará los datos bajo las concretas instrucciones del responsable y que nos los aplicará para fines diferentes a los que figuren en dicho contrato, ni los comunicará a terceras personas (es recomendable incluir en el contrato de prestación de servicios una cláusula específica de confidencialidad, o firmar con cada una de las personas que accedan a la misma Pactos o Acuerdos de confidencialidad específicos). En dicho contrato, han de estipularse las medidas de seguridad que el encargado del tratamiento está obligado a implementar e incluirse en el mismo, que una vez finalizada la relación contractual, los datos personales, al igual que cualquier soporte o documentos en que conste algún dato personal, deberán ser destruidos o devueltos al responsable del tratamiento. Como ya se indicó, el encargado del tratamiento será considerado también responsable en el caso de que incumpla las estipulaciones fijadas en el contrato, respondiendo en todo caso de las infracciones en que hubiera incurrido personalmente.
3.6 Facilitar el ejercicio de los derechos de las personas El responsable del fichero ha de facilitar el ejercicio de los derechos de las personas desarrollados en el modulo anterior, como son básicamente el: - Derecho de información - Derecho a ser recabado su consentimiento - Derecho de acceso
CURSO LOPD
19
- Derecho de cancelación - Derecho de oposición - Derecho de indemnización - Derecho de consulta al RGPD - Derecho de impugnación de valoraciones - Derecho de exclusión de las guías telefónicas - Derecho a no recibir publicidad no deseada - Derechos de los abonados y usuarios de servicios de telecomunicaciones - Derechos de los destinatarios de servicios de comunicaciones electrónicas En dicho modulo ya se explicita como se debían resolver los citados derechos por parte del responsable del fichero (ante la petición o solicitud de ejercicio de los mismos), por lo que no se volverá a comentar.
4. Protección 4.1 Adopción de las medidas de seguridad Uno de los puntos clave en torno a los cuales gira la normativa de protección de datos es el relativo a la seguridad de los datos recogidos en ficheros, con el objeto de garantizar la intimidad de los individuos. Por ello fue aprobado el Reglamento de Medidas de Seguridad (Real Decreto 994/1999), donde se regulan las medidas de índole técnica y organizativa que deben ser adoptadas en los ficheros automatizados de datos (vigente en todo lo que no se oponga a la LOPD). En cuanto a los ficheros y tratamientos no automatizados (en soporte papel) preexistentes, la LOPD prevé un régimen transitorio durante el cual no existe obligación de adecuarse a la Ley hasta el año 2007, no obstante pueden adoptarse dichas medidas de forma voluntaria.
CURSO LOPD
20
En el citado Reglamento de Medidas de Seguridad se distinguen tres tipos distintos de datos, en función de la mayor o menor sensibilidad de los datos que sean objeto de tratamiento, distinguiéndose igualmente tres niveles de medidas de seguridad, como se indica en la siguiente tabla:
Niveles de medidas de seguridad Nivel básico
Todos los ficheros que contengan datos de carácter personal han de adoptar las medidas de nivel básico.
Nivel medio
Los ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros y aquellos cuyo funcionamiento se rija por el artículo 28 de la LOPD, deberán reunir las medidas calificadas de nivel medio, además de nivel básico.
Nivel alto
Los ficheros que contengan datos de ideología, religión, creencias, origen racial, salud o vida sexual así como los que con tengan datos recabados para fines policiales sin consentimiento de las personas afectadas deberá reunir, además de las medidas de nivel básico y medio, las calificadas como de nivel alto.
Por tanto, todo fichero de datos personales debe tener adoptadas las medidas de seguridad del nivel correspondiente al tipo de datos existentes en dicho fichero, de conformidad con lo dispuesto en el Reglamento y, como se observa en la tabla adjuntada, dichas medidas presentan un carácter acumulativo, debiéndose adoptar las medidas correspondientes al nivel de seguridad que se trate, así como las correspondientes a los niveles inferiores. Serán el responsable del fichero y, en su caso, el encargado del tratamiento, los que resultan obligados a adoptar, en todo caso, las medidas de seguridad correspondientes al nivel básico y, según corresponda, las medidas de seguridad de nivel medio y alto.
CURSO LOPD
21
4.2 Redacción del Documento de Seguridad Según el artículo 8 del Reglamento de Medidas de Seguridad de los ficheros automatizados, "El responsable del fichero elaborara a implantara la normativa de seguridad mediante un documento de seguridad de obligado cumplimiento para el personal con acceso a los datos automatizados de carácter personal y a los sistemas de información".
4.3 Redacción de contratos, acuerdos y cláusulas de privacidad La información corporativa de carácter confidencial as uno de los principales activos de las empresas y como tal, debe estar protegida con medios técnicos, organizativos y legales frente a accesos no autorizados. Dentro de esta información confidencial (relativa a los productos, servicios, clientes, proveedores, personal, rnétodo de trabajo, organización, estrategias empresariales, información económica y financiera, etc.) se incluyen, por consiguiente, los datos de carácter personal. Dentro de estos medios legales se incluyen los denominados contratos de outsourcing, cuando la informaci6n confidencial es tratada por terceros, y los acuerdos y clausulas de confidencialidad en el caso de que se trate internamente. El establecimiento de contratos, pactos y cláusulas de confidencialidad, tanto internos como externos, permite proteger la informaci6n definida como confidencial, estableciendo en los mismos de forma expresa las obligaciones y límites que se han de tener en su tratamiento. A continuación, se contratos, pactos comentan sus características más relevantes.
Contratos en la realización de tratamientos de los datos de carácter personal por cuenta de terceros: Este tipo de contratos son conocidos como contratos de outsourcing, sobre los cuales pesa la obligación legal de constitución en base al artículo 12 de la LOPD. En dicho contrato se debe determinar claramente:
CURSO LOPD
22
- Lo que se entiende por "confidencial", siendo recomendable huir de referencias genéricas a la confidencialidad. - La información, recursos o medios que se ponen a disposición de la tercera empresa, determinando la titularidad de los mismos. - El deber de actuar diligentemente en cuanto al tratamiento, conservación, almacenamiento, transporte, etc., adoptando las medidas que aseguren y garanticen dicho secreto, evitando de esa manera su pérdida o el acceso a la misma por parte de terceros no autorizados. - La obligación de devolver la información confidencial a la que se ha tenido acceso en el momento que termine la relación contractual, estableciendo que la obligación de confidencialidad y secreto permanecerá vigente durante el plazo que sea establecido por las partes. Es conveniente, igualmente, informar de las consecuencias que pueden derivarse del incumplimiento de dicha obligación de confidencialidad y secreto. Así puede establecerse que la sustracción o revelación de dicha información puede ser constitutivo de un ilícito de naturaleza penal (artículo 197 del nuevo Código Penal de 1995 "Del descubrimiento y revelación de secretos"), puede ser objeto de acciones disciplinarias como el despido en caso de que el incumplimiento venga por parte de un trabajador, reclamación de indemnizaciones por daños y perjuicios, etc.
Acuerdos/pactos y cláusulas de confidencialidad: La firma de acuerdos específicos de confidencialidad junto con los contratos de trabajo o bien la inclusión de una cláusula específica de confidencialidad en dicho contrato, se trata de una práctica muy habitual en las organizaciones. Como ya se ha indicado éstos suelen suscribirse entre el responsable del fichero y el personal que trabaja a su servicio, y que como consecuencia del mismo tenga la necesidad de acceder a información calificada coma confidencial (es frecuente también su uso en las cesiones o comunicaciones de datos). El contenido básico de los acuerdos y cláusulas de confidencialidad as muy similar al de los contratos de outsourcing, pero además en éstos pueden establecerse todas las
CURSO LOPD
23
especialidades, que por razón de la relación contractual, sean establecidas por las partes. En concreto, con los citados instrumentos informaremos al personal de las pautas a seguir en el tratamiento personal de los datos, con sus obligaciones y limitaciones, para de ese modo reducir algunas práctica muy comunes como son: Llevarse información confidencial a casa para trabajar (sin contar con las pertinentes medidas de seguridad), copiar la información de las bases de datos a las que se tiene acceso en el momento de abandonar el puesto de trabajo, etc. El incumplimiento de los mismos puede suponer el inicio de acciones legales, y la reclamación de indemnizaciones por daños y perjuicios.
4.4 Auditoria de la protección de datos Como ya se indicó, todo fichero que contenga datos personales debe tener implantadas las medidas de seguridad correspondientes at nivel de sensibilidad de los datos personales que contenga, tal y como establece el artículo 9 de la LOPD relativo a la seguridad de los datos. Estas medidas de seguridad, tanto técnicas como organizativas, están reguladas en el Real Decreto 994/1999, de 11 de junio. Entre las consideradas como medidas de nivel medio y alto, destaca una medida de seguridad, de obligado cumplimiento, la denominada "auditoria de protección de datos", cuya regulación se concreta en at artículo 17 del mencionado Real Decreto. Según el mismo, los sistemas de información e instalaciones de tratamiento de datos deberán someterse a una auditoría interna o externa, que verifique el cumplimiento del mencionado Real Decreto y de los procedimientos a instrucciones vigentes en materia de seguridad. Esta obligación deberá cumplirse, como mínimo, cada dos años. Por lo tanto, el objeto fundamental de esta auditoría es el de verificar la adaptación de los ficheros de datos personales a las obligaciones impuestas, no sólo por la LOPD, sino también por el Reglamento de Medidas de Seguridad y las restantes disposiciones normativas que resulten de aplicación, en especial, a las medidas de seguridad y a los procedimientos llevados a cabo para la recogida y tratamiento de los datos personales.
CURSO LOPD
24
Las auditorías permiten conocer, por tanto, en el momento de su realización cual es la situación exacta en cuanto a protección, control y medidas de seguridad. En lo relativo a su ejecución, mencionar que toda auditoría de protección de datos ha de constar de una serie de fases que, básicamente, se pueden resumir como sigue a continuación:
Fase 1. Identificación de datos personales: Estudio de los distintos medios de recogida de datos personales, finalidad del tratamiento, ficheros existentes y medidas de seguridad existentes, en su caso. En ella se ha de obtener el mayor volumen de información posible, la cual será necesaria para elaborar la denominada "Política de Seguridad" a seguir, así como para desarrollar el resto de las fases de la auditoría.
Fase 2. Establecimiento del nivel y medidas de seguridad aplicables: Una vez analizada toda la información, se procede a la determinación del nivel de medidas de seguridad que debe ser adoptado, en función del tipo de datos personales contenidos en los ficheros.
Fase 3. Redacción del informe de auditoría: Memoria explicativa que contiene una relación de las actuaciones realizadas, las deficiencias o anomalías observadas, los aspectos que deben ser corregidos, advertencias legales y el plazo existente para proceder a su corrección, así como de las medidas que sea necesario implantar.
Fase 4. Ejecución, seguimiento y control de las medidas correctoras: Posteriormente el informe de auditoría es analizado y, en base al mismo, se establece un plan de seguimiento y control de las medidas correctoras adoptadas para lograr la adecuación a la normativa, comprendiéndose entre otras, la redacción de los Documentos de Seguridad, inscripción de los ficheros en el Registro General de la Protección de Datos, redacción de contratos y cláusulas de protección de datos, etc.
CURSO LOPD
25
5. Deber de colaboración con la Agencia Española de Protección de datos Como norma general se puede afirmar que si una organización que almacena y trata datos de carácter personal cumple con los principios básicos, facilita al interesado el ejercicio de sus derechos en los plazos y en los extremos señalados por la ley, legalice el fichero mediante su registro y establece unas medidas de seguridad para la protección del mismo, esta estará totalmente segura de no incurrir en las infracciones previstas en la normativa. Sin embargo, es muy importante recordar que en la LOPD se establecen una serie de funciones a la AEPD, en concreto en el artículo 37 y que, a su vez, en el artículo 40 de la misma Ley se dota a dicha AEPD de potestad inspectora. En base a estos artículos, se establecen como infracciones: - Según el artículo 44.2 b) de la LOPD “no proporcionar la información que solicita la AEPD en el ejercicio de las competencias que tiene legalmente atribuidas, en relación con aspectos no sustantivos de la protección de datos" constituye una infracción leve. - Según el artículo 44.3 i) y 44.3 j) de la LOPD será considerada una infracción grave "no remitir a la AEPD las notificaciones prevista en esta Ley o en su disposiciones de desarrollo, así como no proporcionar en plazo a la misma cuantos documentos e informaciones deba recibir o sean requeridos por aquél a tales efectos, así como practicar la obstrucción al ejercicio de la función inspectora". Por lo tanto, es muy importante colaborar con la AEPD en el ejercicio de las funciones que ésta tiene establecidas en la LOPD.
6. Gestión de la protección de datos 6.1 Generalidades La "Protección de Datos de Carácter Personal" surge como una nueva obligación para las nuevas entidades profesionales, independientemente de su
CURSO LOPD
26
titularidad. Pero, el deber en esta materia no sólo debe consistir en la adaptación a la normativa vigente, sino también en la aplicación práctica de los comenta dos principios de protección de datos en el seno de la entidad, dentro de cada uno de los departamentos, involucrando de esta manera en todo el personal. De este modo, el cumplimiento de lo establecido en la LOPD y su normativa de desarrollo se concreta no sólo en la legalización, legitimación y protección de los ficheros de datos de carácter personal, sino también en su aplicación práctica en el seno de la organización, es decir, en la incorporación a la dinámica de la empresa de los principios rectores de la protección de datos de carácter personal. La gestión de la protección de datos de carácter personal y, por tanto, la incorporación a la dinámica de la empresa de los principios rectores en la materia, adquiere una gran importancia debido fundamentalmente a que las consecuencias de su incumplimiento conllevan grandes responsabilidades tanto para la propia organización como para el personal que trata o accede a los datos de carácter personal, es decir, las sanciones en la materia no son sólo de naturaleza administrativa y dirigidas a la organización en sí, sino que además de dichos incumplimientos se pueden derivar responsabilidades de naturaleza civil, penal y laboral. No obstante, una adecuada gestión de la protección de datos no sólo permite librarse de costosas infracciones, sino que va a capacitar a la organización para lograr un cumplimiento de los preceptos establecidos en la LOPD y demás normativa de desarrollo, cumplimiento del que derivan importantes beneficios como son la mejora de la protección ofrecida a los ciudadanos, las ventajas obtenidas de la seguridad implementada y la consecución de un plus de calidad que los consumidores saben apreciar, es decir, se otorgan un gran número de ventajas competitivas a las empresas que respetan y cumplen la normativa frente al resto que la incumple. Como los principios básicos de la protección de datos ya han sido desarrollados con anterioridad, se va a comentar únicamente la denominada como "política de privacidad" y el procedimiento de información y formación del personal en la materia.
CURSO LOPD
27
6.2 Establecimiento de la política A la hora de gestionar la protección de datos en la organización es muy importante llevar a cabo la definición de una política de privacidad, cuya difusión es vital en el seno de la organización (suministro de información). En esta política de privacidad se suele informar fundamentalmente sobre: - El carácter y finalidad de la LOPD y su normativa de desarrollo. - Las obligaciones básicas impuestas. - Los diferentes principios, acciones y procedimientos a adoptar en la gestión diaria de la empresa, etc. Igualmente, se puede informar al personal empleado sobre otras medidas o políticas de seguridad de los sistemas de información implementados por la organización, así como de las responsabilidades que se pueden derivar de su incumplimiento.
6.3 Formación e información También se considera importante la realización de sesiones formativas en la materia para todo el personal, ya que la "cultura de la protección de datos" incumbe a todos los niveles jerárquicos, y no solo a los mandos directivos. Así el establecimiento de seminarios, conferencias o jornadas de formación en materia de protección de datos en el seno de las organizaciones permite un conocimiento en los diferentes ámbitos de la protección de datos, como pueden ser la legislación vigente y la seguridad de sistemas de información, convirtiéndose, por consiguiente, en otra de las medidas que se ha de implementar. Como principal ventaja de esta acción formativa e informativa se deriva la consecución de una mayor participación de los empleados, los cuales podrán consultar y comentar las particularidades de su puesto de trabajo.
¡ Fin del tema 8 !
CURSO LOPD
28