PREGUNTAS. Agencia Española de Protección de Datos

Transcripción

1 PREGUNTAS - La información obtenida por las empresas de recobro para cobrar deudas de terceros, constituyen un nuevo fichero titularidad de la empresa de recobro o por el contrario es información responsabilidad del acreedor contratante. La empresa de recobro encargada del tratamiento puede crear y ser titular de un nuevo fichero siempre que tenga una legitimación propia para su tratamiento (p.ej. Datos obtenidos de fuentes accesibles al público) Sobre los datos obtenidos en el desarrollo de la prestación de servicios, la legitimación para el tratamiento la asume por cuenta del acreedor que la contrató (p.ej. De detectives o de familiares del deudor), por lo que la misma cesará al término del servicio prestado (SAN de 22 de julio de 2010 e Informe del Gabinete Jurídico de 25 de abril de 2011) 1

2 El listado de datos del art. 2.2 del RD1720/2007 que indica que no se le aplicará el RD es meramente enunciativo o es numerus clausus? Se podría decir que esta afirmación es correcta?: "El nif o la firma identifican en menor medida que el nombre y apellidos. Si es en representación de la empresa, no es de aplicación la ley orgánica 15/1999" en caso afirmativo en qué parte de la legislación o sentencias relacionadas con la protección de datos personales figuraría exactamente? La normativa de protección de datos únicamente prevé excluir los datos de mero contacto de las personas que prestan servicios para una persona jurídica. En consecuencia, la enumeración que plantea el artículo 2.2 es taxativa. Si existe cualquier otro dato el tratamiento estaría sometido a la LOPD. En particular, en cuanto a los datos que se citan habría que determinar si los mismos tienen el carácter de dato personal, lo que en el caso del NIF resulta indudable y ha sido sustentado por la jurisprudencia. En todo caso sería éste el criterio a tener en cuenta, no añadiéndose tales informaciones a la enumeración taxativa del artículo 2.2 del RLOPD 2

3 En muchos documentos que se están utilizando con las cláusulas de consentimiento, se esta dando por hecho de manera afirmativa el consentimiento a no ser que se diga lo contrario. Es esto válido o, por el contrario, deberá existir una casilla que obligue a rellenar o marcar para que se dé por afirmativo dicho consentimiento? Como ha señalado la jurisprudencia, el consentimiento puede prestarse de forma tácita salvo cuando la Ley exige que el mismo sea expreso, regulando el artículo 14 del RLOPD un procedimiento específico al efecto. De este modo, salvo que exista una previsión que exija otra cosa, el procedimiento señalado es conforme a las normas de protección de datos En el ámbito de los contratos, la firma del interesado equivaldría a un consentimiento expreso, por lo que lo único exigible sería incluir una cláusula que permita manifestar la voluntad en el documento cuando los fines para los que se pretendan tratar los datos no sean los relacionados directamente con el contrato (art. 15 RLOPD), pudiendo tener el formato que se plantea en la pregunta. 3

4 Me gustaría saber qué tipo de consentimiento es necesario para tratar datos de tráfico de abonados a servicios de telecomunicaciones: tácito o expreso El tratamiento de datos de tráfico y facturación por parte de los prestadores de servicios de comunicaciones electrónicas aparece regulado en la Ley General de Telecomunicaciones, así como en sus disposiciones de desarrollo. En particular, los operadores no necesitan consentimiento para la facturación y el pago de las interconexiones y se encuentran, por otra parte, obligados a la conservación de estos datos a disposición de las autoridades competentes a las que se refiere la Ley 25/2007, de 18 de octubre, de Conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones. Los datos pueden también tratarse para la prestación de servicios de valor añadido solicitados por el abonado o usuario durante el tiempo y en la medida necesaria para esa prestación. El uso de los datos para otros fines la promoción de productos o servicios asociados a comunicaciones electrónicas requerirá el consentimiento, que podrá ser tácito, a través del procedimiento que recoge el RD 424/2005, si bien cuando las comunicaciones estén sujetas a la LSSI el consentimiento deberá ser expreso. 4

5 Qué ocurre cuando el gobierno se niega a solicitar información a un diputado justificada en la protección de datos? Como todos saben una de las funciones principales de un parlamentario es ejercer la acción de control al gobierno. Para ello la constitución y los reglamentos de las cámaras regulan dicho derecho. Este derecho se ejerce, entre otros, mediante la solicitud de información por el diputado al gobierno. En ocasiones el gobierno se niega. La comunicación de datos a los miembros de una Cámara (ya sean las Cortes Generales o los Parlamentos Autonómicos), puede encontrarse amparado en el ejercicio de la función de control de la actividad del ejecutivo, atribuida a dichas cámaras. En consecuencia, dicha cesión estaría amparada por las normas de protección de datos siempre que así se derive de la regulación en la materia que establezca el Reglamento de la Cámara correspondiente. En cuanto al alcance de la cesión, deberá estarse a lo que determine la correspondiente Mesa, que será la competente para enjuiciar la proporcionalidad de lo solicitado en relación con el alcance de la función de control. 5

6 Necesidad o no de inscribir fichero sobre ley de blanqueo de capitales. La Ley 10/2010 impone a los sujetos obligados por la misma una serie de obligaciones tendentes a la prevención del blanqueo de capitales y la financiación del terrorismo que necesariamente supondrá el tratamiento de datos de carácter personal (deberes de diligencia debida, análisis especial de operaciones, comunicación al SEPBLAC, etc.). La naturaleza de estas obligaciones y las especialidades exigidas por la Ley 10/2010 implicarán la creación de ficheros específicos para las mismas. Respecto de los datos contenidos en los ficheros operarán en muchos casos excepciones en la aplicación de las normas generales de protección de datos, sobre todo cuando haya de atenderse a la prohibición de revelación, contenida expresamente en las normas de prevención de blanqueo, que podrá afectar al deber de información o a la respuesta que deba darse a las solicitudes de ejercicio de los derechos. Sin embargo ello no implica que los ficheros estén excluidos de la aplicación de la LOPD. Por el contrario, la Ley 10/2010 prevé expresamente que dicha Ley Orgánica es de aplicación. Por ello, deberán cumplirse las previsiones de dicha Ley y, en particular las relativas a la notificación del fichero para su inscripción. 6

7 Cómo cumplir con el deber de informar en el envío de SMSS, cuando hay un límite de caracteres (160) en los propios SMSS? No hay espacio material para el texto del SMS más la leyenda informativa al interesado. Para que se envíe el mensaje comercial de acuerdo con la LSSI tiene que haber según el artículo 21.1 consentimiento o contratación previa sobre los mismos productos y servicios. El mensaje debe incluir según el artículo 21.2 la posibilidad de oponerse lo que puede hacerse con referencia a Baja seguido de número o dirección. La remisión a la política de privacidad en caso de mensajes comerciales puede hacerse incluyendo una referencia a una página web previa indicación (más información/privacidad/protección datos www ). 7

8 Si un empleado se niega a firmar un compromiso de confidencialidad en el que se refleja tanto el deber de secreto, como las funciones, obligaciones y responsabilidades a cumplir en la empresa respecto a la ley orgánica de protección de datos, Se le puede obligar? Podría ser sancionada la empresa por no tenerlo firmado? El primer problema no entra dentro del ámbito de la normativa de protección de datos. Aunque constituye una buena práctica debe resolverse en el ámbito disciplinario o laboral correspondiente. La ausencia de firma por un empleado no es susceptible de sanción alguna por la AEPD al no resultar preceptiva su cumplimentación. En todo caso la obligación de secreto profesional vincula a la empresa y trabajadores por imperativo de la LOPD. 8

9 Los justificantes médicos de asistencia a un centro sanitario pueden contener datos de salud o del servicio médico que ha atendido al paciente? En caso de que no sea posible poner este tipo de datos, si el paciente pide expresamente que se añadan para justificarlo en su empresa se pueden incorporar al justificante? Cuando un trabajador presenta en su empresa un justificante médico con datos de salud o un informe médico con el objeto de justificar una ausencia al trabajo, el departamento de RRHH podrá guardar esa documentación? En caso de que se pueda guardar, deberá aplicar a ese fichero las medidas de seguridad de nivel alto? Los justificantes aportados a un departamento de RRHH no pueden contener datos de salud, por lo que debiera disuadirse su incorporación a los mismos y al subsiguiente fichero. 9

10 Cómo y cuándo se debe informar a la comunidad de la morosidad de algún vecino. Los miembros de la comunidad son interesados. Por tanto tienen derecho a conocer en todo momento los impagos de otros miembros. Cuestión distinta es la puesta en conocimiento de terceros (por ejemplo mediante la inserción de la información en tablón de anuncios accesible a personas ajenas). En este caso la Ley de Propiedad Horizontal únicamente lo habilita a efectos de notificación tras dos intentos infructuosos. 10

11 Fichero de videovigilancia, declarado con la finalidad de control de accesos, y seguridad de las instalaciones y de las personas que se encuentran en su interior. Posibilidad de uso por parte de una administración, en expediente disciplinario, de un informe elaborado por la empresa de seguridad en que se indica que se ha visualizado, por el sistema de videovigilancia, que el trabajador realizaba una acción que ponía en riesgo la seguridad del centro. Un procedimiento disciplinario basado en que el trabajador ha puesto en riesgo la seguridad del centro de trabajo utilizando imágenes acreditativas es un uso acorde con la finalidad. 11

12 Por qué no se cumple con el principio de proporcionalidad de las sanciones y a día de hoy sigue saliendo a cuenta por parte de las grandes empresas (telecomunicaciones) seguir infringiendo la normativa en LOPD, dado que el beneficio conseguido supera la sanción. La nueva regulación tras la modificación del régimen sancionador realizado por la LES introduce, entre otros, dos elementos de ponderación novedosos: - volumen de negocio o actividad. - vinculación de la actividad con la realización de tratamiento de datos de carácter personal. Junto a ello la cuantía de las sanciones y su posible imposición por cada infracción detectada convierten al sistema en suficientemente disuasorio. 12

13 Debe existir una integración entre las medidas de seguridad establecidas por el Reglamento de Medidas de Seguridad de la LOPD y lo dispuesto en el Esquema Nacional de Seguridad? En la exposición de motivos del ENS se señala que en él se concibe la seguridad como una actividad integral, en la que no caben actuaciones puntuales o tratamientos coyunturales, debido a que la debilidad de un sistema la determina su punto más frágil y, a menudo, este punto es la coordinación de medidas individualmente adecuadas pero deficientemente ensambladas y continua diciendo que la información tratada en los sistemas electrónicos a los que se refiere este real decreto estará protegida teniendo en cuenta los criterios establecidos en la Ley Orgánica 15/1999, de 13 de diciembre. Por tanto es posible y además conveniente que las medidas de seguridad aplicables en materia de protección de datos en un organismo público estén integradas dentro del marco general de la seguridad de la información establecido para dar cumplimiento al Esquema Nacional de Seguridad. Además de disminuir los riesgos derivados de la coordinación de medidas de seguridad a los que se hacía referencia anteriormente, esta estrategia permite un uso más eficiente de los recursos humanos y materiales dedicados a garantizar la seguridad de la información, ya se trate de datos personales o de otra naturaleza. 13

14 En un reloj de fichaje, cuando el trabajador se ausenta en mitad de la jornada indica una clave del motivo de la ausencia: visita médica, rehabilitación, enfermedad, reunión sindical, reunión comité de empresa. Alguna de estas claves hace saltar las medidas de seguridad a nivel alto? La mera declaración por el interesado de estos motivos de ausencia no supone en principio la obligación de aplicar medidas de nivel alto, siempre y cuando no se aporte ningún dato o información adicional de la que pueda desprenderse el tipo de dolencia o enfermedad, o en su caso la organización sindical a la que está afiliado el interesado. En todo caso, es aconsejable que la clasificación de incidencias evite conocer cualquier tipo de datos sensibles. 14

15 Si las legislaciones de los Estados Miembros de la UE son equiparables, Hay algún motivo por el que la AEPD no podría autorizar un contrato de encargado de tratamiento bajo la Decisión de 5 de febrero que contenga medidas de seguridad conforme a una legislación de un estado miembro de la UE que no sea España? La Decisión 2010/87/UE dispone: Cláusula 4.c) que el exportador de datos acuerda y garantiza que el importador de datos ofrecerá garantías suficientes en lo que respecta a las medidas de seguridad técnicas y organizativas especificadas en el apéndice 2 del presente contrato Cláusula 5.c) que el importador de datos ha puesto en práctica las medidas de seguridad técnicas y organizativas que se indican en el apéndice 2 antes de efectuar el tratamiento de los datos personales transferidos. Apéndice 2 Descripción de las medidas de seguridad técnicas y organizativas puestas en práctica por el importador El cumplimiento de la legislación española y en concreto de las medidas de seguridad por el encargado del tratamiento es un requisito para obtener la autorización. No obstante, toda vez que los Estados miembros de la Unión Europea han adaptado sus legislaciones a la Directiva 95/46/CE se podría desprender la equiparación de la exigencia de las medidas de seguridad a adoptar por el importador de datos. En cualquier caso, las medidas de seguridad descritas en las Cláusulas contractuales que se presenten para obtener la correspondiente autorización del Director de la Agencia son en cada caso objeto de estudio. 15

16 Qué medidas de seguridad se deben aplicar para el envío de citas médicas mediante sms? El texto del SMS debe limitarse a informar de los datos básicos de la cita (fecha y hora, lugar de la consulta y nombre del facultativo) para que sea suficiente aplicar las medidas de nivel básico. 16

17 Qué medidas de seguridad se han de adoptar en actividades técnicas relacionadas con el acceso a sistemas de información con datos de nivel medio/alto en régimen de teletrabajo? En su artículo 85, el RLOPD estipula que las medidas de seguridad exigibles a los accesos de carácter personal a través de redes de comunicaciones, sean o no públicas, deberán garantizar un nivel de seguridad equivalente al correspondiente a los accesos en modo local. Por tanto, las medidas de seguridad a aplicar vendrán determinadas por el tipo de datos que trate en remoto el usuario que accede a la información en la modalidad de teletrabajo, de acuerdo a los criterios establecidos en el artículo 81 del RLOPD. En particular, y en el caso de datos a los que apliquen medidas de nivel alto, el artículo 104 del Reglamento establece que su transmisión a través de redes públicas o redes inalámbricas de comunicaciones electrónicas se realizará cifrando los datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros. Por otra parte, en el documento de seguridad debe hacerse constar la circunstancia específica del teletrabajo por parte de empleados, así como los procedimientos de actuación, reglas y estándares de seguridad a aplicar. 17

18 Puedo poner el logo de la agpd en mi página web para que mis clientes puedan ir directamente a al pulsar sobre el mismo? - No se puede colocar el logo de la AEPD en una página web - La AEPD no tiene inconveniente en que se coloque un link de acceso a la web de la AEPD en una página web privada 18