MANUAL DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL
|
|
|
- María Teresa Soler Castro
- hace 8 años
- Vistas:
Transcripción
1 MANUAL DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL
2 ÍNDICE 1 EL DERECHO A LA PROTECCIÓN DE DATOS PERSONALES 1.1. Ámbito de aplicación 1.2. Fichero de Titularidad Pública. Diferenciación con los Ficheros de Titularidad Privada Creación e Inscripción de los Ficheros Públicos 1.4. Especial referencia a las Corporaciones de Derecho Público 2 CONCEPTOS FUNDAMENTALES 2.1. Datos de carácter personal 2.2. Fichero 2.3. Tratamiento de datos 2.4. Afectado o interesado 2.5. Consentimiento 2.6. Cesión de datos 2.7. Responsable del fichero 2.8. Encargado de tratamiento 2.9. Procedimiento de Disociación Fuentes accesibles al público Usuarios 3 PRINCIPIOS QUE RIGEN TODO TRATAMIENTO DE DATOS PERSONALES 3.1. Principio de calidad 3.2. Principio de información en la recogida 3.3. Principio de consentimiento 3.4. Principio de datos especialmente protegidos 3.5. Principio de Comunicación o Cesión de datos 3.6. Principio de acceso a datos por cuenta de terceros. El encargado del tratamiento.
3 4. OBLIGACIONES DEL TITULAR DEL FICHERO 4.1. Deber de Secreto 4.2. Seguridad de los Datos 5. DERECHOS DE LAS PERSONAS 5.1. Derecho de acceso 5.2. Derecho de oposición 5.3. Derecho de rectificación y cancelación 5.4. Derecho de impugnación de valoraciones 5.5. Derecho a indemnización 5.6. Derecho de consulta al Registro General de la Agencia de Protección de Datos. 6. ÓRGANOS DE CONTROL 7. PROCEDIMIENTOS TRAMITADOS POR LA AGENCIA 7.1. Tutela de Derechos Fases del Habeas Data 7.2. Sancionador 8. VIDEOVIGILANCIA 9. SOLVENCIA PATRIMONIAL 10. TRANSFERENCIA INTERNACIONAL DE DATOS 11. LSSI 12. PLAN DE ADECUACIÓN EMPRESARIAL A LA LOPD Y LSSI
4 2007 David Díaz Lima 2014 Rev. 7ª 1. EL DERECHO A LA PROTECCIÓN DE DATOS PERSONALES El derecho a la protección de datos personales es un derecho fundamental de cualquier individuo que se traduce en la potestad de control sobre el uso que se hace de sus datos personales. Este control permite evitar que, a través del tratamiento de nuestros datos, se pueda llegar a disponer de información sobre nosotros que afecte a nuestra intimidad y demás derechos fundamentales y libertades públicas. La protección de datos nace en nuestra legislación en cumplimiento del mandato impuesto por el artículo 18 de la Constitución Española de 1978: La Ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos. Será la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal (LORTAD), la que inicie su regulación en nuestro país, ajustándose tanto a las previsiones del Convenio Europeo para la protección de los Derechos Fundamentales de la Persona (Convenio de 4 de noviembre de 1950, ratificado por Instrumento de 26 de noviembre de 1979), como al Convenio Europeo para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal (Convenio 108 del Consejo de Europa, de 28 de enero de 1981, ratificado por Instrumento de 27 de enero de 1984). La evolución en la regulación de este derecho llevará al Parlamento Europeo y al Consejo de la Unión Europea en el año 1995, a adoptar la Directiva 95/46/CE, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, cuya transposición a la legislación española se realizará mediante la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), actualmente en vigor y que deroga a la Ley Orgánica 5/1992. De acuerdo con el artículo 1 de la LOPD, el objeto de esta Ley es: garantizar y proteger, en lo que concierne al tratamiento de datos personales, las libertades
5 públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar, si bien es en la Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre, donde se define el derecho fundamental a la Protección de Datos, separándolo del derecho a la intimidad: Este derecho fundamental a la protección de datos, a diferencia del derecho a la intimidad del art C.E. con quien comparte el objetivo de ofrecer una eficaz protección constitucional de la vida privada personal y familiar, atribuye a su titular un haz de facultades que consiste en su mayor parte en el poder jurídico de imponer a terceros la realización u omisión de determinados comportamientos cuya concreta regulación debe establecer la Ley,... La peculiaridad de este derecho fundamental respecto de aquel derecho fundamental tan afín como es el de la intimidad radica, pues, en su distinta función, lo que apareja, por consiguiente, que también su objeto y contenido difieran. De este modo, el objeto de protección del derecho fundamental a la protección de datos no se reduce sólo a los datos íntimos de la persona, sino a cualquier tipo de dato personal, sea o no íntimo, cuyo conocimiento o empleo por terceros pueda afectar a sus derechos, sean o no fundamentales, porque su objeto no es sólo la intimidad individual, el contenido del derecho fundamental a la protección de datos consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de estos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso. Su carácter de derecho fundamental, le otorga unas determinadas características, como la de ser irrenunciable y el hecho de prevalecer sobre otros derechos no fundamentales. La Ley Orgánica 15/1999, para facilitar la aplicación efectiva de sus mandatos, establece que las funciones de la Agencia de Protección de Datos... en relación con sus específicas competencias serán ejercidas, cuando afecten a ficheros de datos de carácter personal creados o gestionados por las Comunidades Autónomas y por la Administración Local de su ámbito territorial, por los órganos correspondientes de
6 cada Comunidad, que tendrán la consideración de autoridades de control y a los que se garantizará la plena independencia y objetividad en el ejercicio de su cometido. La AEPD tiene la competencia exclusiva de control de todos los ficheros de titularidad privada en base al artículo 41 LOPD, corroborada por la STC 290/2000, es decir, los correspondientes a la Administración del Estado, Administraciones Autonómicas y Locales de las CCAA sin autoridad de control autonómica, sin embargo, existen tres Comunidades Autónomas que han aprobado su normativa específica en la materia, desarrollando la norma básica estatal:
7 La Comunidad de Madrid, mediante la Ley 13/1995, de 21 de abril, de regulación del uso de la informática en el tratamiento de datos personales por la Comunidad de Madrid, modificada por la Ley de la Comunidad de Madrid 13/1997, de 16 de junio, y hoy derogada por la Ley 8/2001, de 13 de julio, de Protección de Datos de Carácter Personal en la Comunidad de Madrid. Actualmente este Organismo se encuentra suspendido de sus funciones y traspasadas las mismas a la Agencias Española. La Comunidad Catalana, mediante Ley del Parlamento de Cataluña 5/2002, de 19 de abril, de creación de la Agencia Catalana de Protección de Datos. La APDCat tiene competencias de control de los ficheros de titularidad pública de la Administración Pública Institucional, tanto Organismos Autónomos como Entidades de Derecho Público o Consorcios con participación pública se considera que son titulares de ficheros de titularidad pública. Las Entidades Privadas de prestación de servicios públicos o Sociedades Mercantiles, fundaciones, asociaciones, sociedades civiles con participación mayoritaria de capital público son titulares de ficheros privados pero sería competente en base al Estatuto de Autonomía de Cataluña. El artículo 156.a) del Estatuto señala que será competente para inscribir los ficheros de las entidades de derecho privado que dependan de las administraciones territoriales anteriores o esto es lo más destacable, que presten servicios o cumplan actividades por cuenta propia por medio de cualquier gestión directa o indirecta (ej. Centros hospitalarios concertados), por las universidades que integran el sistema universitario catalán y por persona físicas o jurídicas para el ejercicio de funciones públicas con relación a materias que son competencia de la Generalitat de Catalunya o de los entes locales. El artículo 156.b) deja claro que corresponderá a la APDCat la inscripción y el control de los ficheros o tratamientos de datos de carácter personal privados creados o gestionados por personas físicas o jurídicas para el ejercicio de las funciones públicas con relación a materias que son competencias de la Generalitat o de los entes locales de Cataluña, si el tratamiento se realiza en Cataluña.
8 Por tanto deberemos observas el ámbito competencial y el ámbito territorial. Las Corporaciones de Derecho Público como los Colegios Profesionales o las Cámaras de Comercio cuando ejerzan sus funciones exclusivamente en el ámbito territorial de Cataluña serán inscritas y controladas por la APDCat. La Comunidad Vasca, mediante Ley 2/2004, de 25 de febrero, de Ficheros de Datos de Carácter Personal de Titularidad Pública y de creación de la Agencia Vasca de Protección de Datos Ámbito de aplicación La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado (art. 2 de la LOPD). Del ámbito general de aplicación que establece la Ley Orgánica 15/1999, deben destacarse dos conceptos fundamentales: por una parte, su aplicación a los datos registrados en cualquier soporte físico susceptible de tratamiento y, por otra, su aplicación tanto al sector público como al privado. Por lo que se refiere al primero, la Ley debe entenderse aplicable no sólo a datos albergados en soportes electrónicos o informáticos, sino también a los recogidos en papel, microfichas, o cualquier otro que pueda ser objeto de utilización. En lo que respecta al segundo concepto fundamental, la aplicación de la ley tanto al sector público como al privado, decir que los principios de la protección de datos en cuanto al tratamiento de los datos personales, así como los derechos específicos que concede la ley a los ciudadanos, son de obligado cumplimiento para cualquier persona que trate datos de carácter personal, con independencia de su naturaleza pública o privada. Las diferencias que se establecen en la Ley Orgánica 15/1999, son básicamente procedimentales, en cuanto a cómo debe realizarse determinada actuación o gestión, dependiendo de que el responsable del tratamiento
9 sea uno u otro tipo de entidad. Por ejemplo: Cuando una Administración/organismo/entidad pública pretenda crear un fichero que vaya a contener datos de carácter personal, deberá aprobar una disposición de carácter general que se publicará en el Boletín o Diario Oficial correspondiente. Las empresas privadas podrán crear un fichero siempre que sea necesario para la consecución de sus objetivos legítimos, si bien deberán notificarlo previamente a la Agencia Española de Protección de Datos. Uno de los rasgos más destacados en la evolución de la legislación en materia de protección de datos es la ampliación del ámbito de aplicación. Inicialmente el objeto de la Ley era: limitar el uso de la informática en el tratamiento de datos personales, por el peligro que implica el uso de esta herramienta como posible vía para facilitar la vulneración del derecho a la intimidad. Sin embargo, desde la Directiva 95/46/CE y la Ley Orgánica 15/1999, el derecho a la protección de datos no se limita a los tratamientos automatizados, es decir, a aquellos que se realizan utilizando técnicas y herramientas informáticas, sino que se aplica a cualquier tratamiento, con independencia de su soporte. En lo que respecta al primer concepto, la Directiva 95/46/CE, en su considerando número 15 indica que los tratamientos que afectan a dichos datos sólo quedan amparados por la presente Directiva cuando están automatizados o cuando los datos a que se refieren se encuentran contenidos o se destinan a encontrarse contenidos en un archivo estructurado según criterios específicos relativos a las personas, a fin de que se pueda acceder fácilmente a los datos de carácter personal de que se trata. En su considerando número 27 reitera el mismo criterio:...la protección de las personas debe aplicarse tanto al tratamiento automático de datos como a su tratamiento manual;... el alcance de dicha protección no debe depender, en efecto, de las técnicas utilizadas, pues lo contrario daría lugar a riesgos graves de elusión;... Por lo tanto, la Ley Orgánica 15/1999 es aplicable a todos los ficheros informatizados que contengan datos de carácter personal y a aquellos ficheros manuales que contengan datos de carácter personal, siempre que la información almacenada se organice según algún criterio relativo a las personas, de
10 forma que permita acceder fácilmente a los datos de una persona en concreto. Por ejemplo: Cuando las instancias (en formato papel) presentadas por los interesados en participar en un proceso selectivo se almacenen por orden alfabético, por DNI o número de opositor, estaremos ante un tratamiento de datos personales sometido a la aplicación de la legislación sobre protección de datos, por tratarse de un conjunto de información estructurado por un criterio relativo a las personas que permite acceder fácilmente a los datos de un interesado concreto. Si esas mismas instancias se almacenan por el orden cronológico de recepción, también estamos ante un tratamiento de datos personales, pero quedaría excluido de la aplicación de la legislación en materia de protección de datos al no almacenarse los datos según un criterio relativo a las personas. En cuanto al régimen objetivo de delimitación del ámbito de aplicación de la Ley Orgánica 15/1999, ésta regirá todo tratamiento de datos de carácter personal: a) Cuando el tratamiento sea efectuado en territorio español en el marco de las actividades de un establecimiento del responsable del mismo. b) Cuando al responsable del tratamiento no establecido en territorio español, le sea de aplicación la legislación española en aplicación de normas de Derecho Internacional público. c) Cuando el responsable del tratamiento no esté establecido en territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, salvo que tales medios se utilicen únicamente con fines de tránsito. El régimen de protección de datos de carácter personal que se establece en la Ley Orgánica 15/1999 no será de aplicación: a) A los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas. Sólo se considerarán los tratamientos relativos a las actividades que se inscriben en el marco de la vida privada o familiar de los particulares.
11 b) A los ficheros sometidos a la normativa sobre protección de materias clasificadas. c) A los ficheros establecidos para la investigación del terrorismo y de formas graves de delincuencia organizada. No obstante, en estos supuestos el responsable del fichero comunicará previamente la existencia del mismo, sus características generales y su finalidad a la Agencia de Protección de Datos. Se regirán por sus disposiciones específicas, y por lo especialmente previsto, en su caso, por la Ley Orgánica 15/1999 los siguientes tratamientos de datos personales: a) Los ficheros regulados por la legislación de régimen electoral. b) Los que sirvan a fines exclusivamente estadísticos, y estén amparados por la legislación estatal o autonómica sobre la función estadística pública. c) Los que tengan por objeto el almacenamiento de los datos contenidos en los informes personales de calificación a que se refiere la legislación del régimen del personal de las Fuerzas Armadas. d) Los derivados del Registro Civil y del Registro Central de penados y rebeldes. e) Los procedentes de imágenes y sonidos obtenidos mediante la utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad, de conformidad con la legislación sobre la materia. El artículo 2.2 y 2.3 del RGPD señala dos excepciones al ámbito objetivo de aplicación por un lado lo relativo a empresarios individuales Los datos relativos a empresarios individuales, cuando hagan referencia a ellos en su calidad de comerciantes, industriales o navieros y las personas de contacto. En cuanto a los empresarios individuales cabe indicar dos conclusiones: La LOPD no es aplicable en los supuestos en los que los datos de comerciante sometidos a tratamiento hacen referencia únicamente al mismo en su condición de comerciante, industrial o naviero, es decir, a su actividad empresarial.
12 El uso de los datos deberá quedar limitado a las actividades empresariales, es decir, el sujeto respecto del que pretende llevarse a cabo el tratamiento es la empresa constituida por el comerciante industrial o naviero y no el empresario mismo que la hubiese constituido. Si la utilización de dichos datos se produjera en relación con un ámbito distinto quedaría plenamente sometida a las disposiciones de la LOPD. Ejemplo: Resolución de 27 de Febrero de 2001; Sentencia del Tribunal Supremo de 20 de Febrero de 2007 En cuanto a los ficheros de contactos la fundamentación es similar a la que se acaba de indicar. La Agencia ha venido señalando que en los supuestos en que el tratamiento del dato de la persona de contacto es meramente accidental en relación con la finalidad del tratamiento, referida realmente a las personas jurídicas en las que el sujeto presta sus servicios, no resulta de aplicación la LOPD. Es necesario que el tratamiento del dato de la persona de contacto sea accesorio en relación con la finalidad perseguida cumpliendo dos requisitos: Los datos se deben referir a los meramente necesarios para identificar al sujeto en la persona jurídica a la que presta sus servicios. Por ello no se encontrarían excluidos cuando se necesite el DNI/NIF, al no ser necesario para el mantenimiento del contacto empresarial. La inclusión debe ser meramente accidental o incidental respecto de la verdadera finalidad perseguida por el tratamiento, que ha de residenciarse no en el sujeto sino en la entidad en la que el mismo desarrolla su actividad o a la que aquél representa en sus relaciones con quienes tratan los datos. Así sucedería en las relaciones business to business, no en las relaciones business to consumer. Ejemplo: Resolución de 19 y 20 de Julio de 2005, 24 de Agosto de 2005, 9 de Mayo de 2006, 31 de Enero de 2007 y 1 de Octubre de 2007.
13 1.2. Fichero de Titularidad Pública. Diferenciación con los Ficheros de Titularidad Privada. La Ley 15/99 no define de forma expresa los criterios delimitadores de la titularidad pública o privada de los distintos ficheros, si bien en el articulado del Capítulo I del Título IV viene a identificar los ficheros de titularidad pública como aquéllos cuya responsabilidad corresponde a las Administraciones Públicas (artículos 20 y 21), estableciendo ciertas especialidades en su régimen jurídico en las restantes disposiciones de este capítulo y en el artículo 46, en lo que se refiere al régimen sancionador. A partir de estos preceptos, deberá determinarse cuál es la interpretación que deba darse al término "titularidad pública", contenido en las citadas disposiciones, planteándose dos posibles criterios: por un lado el meramente subjetivo, que atiende a la naturaleza pública o privada del responsable del fichero; por otro, el criterio planteado por la consulta que atiende a la función desempeñada por dicho responsable. Como punto de partida, entendemos que, tal y como se desprende de las disposiciones de la LOPD, el criterio que ha de prevalecer en este punto es el relativo a la naturaleza pública o privada del responsable, ya que la Ley no diferencia ambas categorías de ficheros con base en criterios relacionados con la actividad llevada a cabo por el responsable, sino con el criterio de la "titularidad" del fichero. Así se desprende, no sólo de las rúbricas de los Capítulos I y II del Título IV de la Ley, sino de lo dispuesto en el artículo 46, que establece una especialidad en materia sancionadora para los supuestos de ficheros de titularidad pública, refiriéndose a los mismos como "ficheros de los que sean responsables las Administraciones Públicas", añadiendo, en su apartado segundo la posible imposición de las sanciones "establecidas en la legislación sobre régimen disciplinario de las Administraciones Públicas" Creación e Inscripción de los Ficheros Públicos Aprobación: Mediante Ordenanza municipal o cualquier otra disposición de carácter general que será publicada en el Boletín Oficial de la Comunidad (Decretos de Alcaldía normalmente este será el instrumento normativo de aprobación-, Acuerdos de Plenos o de Comisión). El artículo 20 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos
14 de Carácter Personal, establece que la creación, modificación o supresión de los cheros de las Administraciones públicas sólo podrán hacerse por medio de Disposición General, publicada en el Boletín Oficial del Estado o Diario Oficial correspondiente. El artículo 53.3º del Real Decreto 1.720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de Ley Orgánica 15/1999, de 13 de diciembre, en cuanto a la forma de la disposición o acuerdo, establece en relación con los ficheros de los que sean responsables las entidades locales, que se estará a su legislación específica. Asimismo, el contenido necesario de esta disposición o acuerdo deberá cumplir con los requisitos del artículo 54 del citado Reglamento. A continuación acompañamos un texto modelo de Disposición General: A estos efectos, el (Órgano Responsable) reunido, en sesión ordinaria celebrada el día ( ), ha adoptado el siguiente Acuerdo por el que se crean los cheros públicos de datos de carácter personal responsabilidad del (Órgano Responsable), siguiendo como modelo de declaración el establecido en la resolución de 12 de julio de 2006, de la Agencia Española de Protección de Datos (A.E.P.D.), (B.O.E. 181 de 31 de julio de 2006) por la que se aprueban los formularios electrónicos a través de los que deberán efectuarse las solicitudes de inscripción de cheros en el Registro General de Protección de Datos (sistema NOTA), así como formatos y requerimientos a los que deben ajustarse las notificaciones remitidas en soporte informático o telemático. Apartado primero. Se crean los siguientes Ficheros Públicos de Datos de Carácter Personal existentes en el (Órgano Responsable). Fichero: 1. Órgano responsable del Fichero: (Órgano Responsable). 2. Órgano de acceso, rectificación, cancelación y oposición: (Órgano Responsable) 3. Medidas de seguridad: 4. Estructura básica y descripción de los tipos de datos de carácter personal
15 a) Datos especialmente protegidos: b) Datos de carácter identificativo: Ej. Nombre, apellidos, dirección, D.N.I./N.I.F., teléfono de la persona de contacto, nombre, apellidos, dirección, D.N.I./N.I.F., teléfono del denunciante. c) Datos de características personales: d) Datos de circunstancias sociales: e) Datos académicos y profesionales: f) Datos de detalle de empleo: Puesto de trabajo de la persona de contacto g) Datos de información comercial: h) Datos económico-financiero y de seguros: i) Datos de transacciones: j) Datos relativos a la comisión de infracciones: k) Sistema de tratamiento: 5. Finalidad del fichero y usos previstos a) Finalidad y usos previstos: b) Tipificación correspondiente a la finalidad y usos previstos: 6. Personas o colectivos sobre los que se pretende obtener datos de carácter personal o que resulten obligados a suministrarlos: 7. Procedencia de los datos: 8. Cesión de datos: 9. Cesión de datos, transferencias internacionales: En , a (Persona firmante)
16 1.4. Especial referencia a las Corporaciones de Derecho Público. En su informe de 8 de abril de 2003 la Agencia Española de Protección de Datos indicaba lo siguiente: Si bien la Ley Orgánica 15/1999 delimita en su articulado el régimen de los ficheros de titularidad pública y privada, no establece un concepto de los mismos. Por esta razón, la delimitación deberá fundarse en los criterios que determinan la naturaleza jurídico-pública o jurídico-privada del responsable del fichero. Esta conclusión se alcanza atendiendo a las peculiaridades establecidas para el régimen de los ficheros de titularidad pública, toda vez que los mismos únicamente podrían ser constituidos en caso de que se desarrollen como consecuencia del ejercicio de una competencia administrativa, tal y como se desprende del artículo 21.1 de la Ley Orgánica 15/1999, que permite la cesión entre Administraciones Públicas cuando la misma se funde en el ejercicio de unas mismas competencias. En este mismo sentido, el artículo 20 de la Ley exige que los ficheros se encuentren sometidos a la tutela de una Administración con potestad para dictar la correspondiente Disposición de carácter general de creación del fichero. Por tanto, considera esta Agencia de Protección de Datos que la delimitación del régimen aplicable a los ficheros de titularidad pública y privada deberá fundarse en un doble criterio: por una parte el responsable del fichero deberá ser una Administración Pública y por otra, en los supuestos que pudieran plantear una mayor complejidad, sería necesario que el fichero sea creado como consecuencia del ejercicio de potestades públicas. Atendidos estos criterios, sería preciso delimitar el concepto de Administración Pública como responsable de los ficheros de titularidad pública. Los Colegios Profesionales son Corporaciones de derecho público, amparadas por la Ley y reconocidas por el Estado, con personalidad jurídica propia y plena capacidad para el cumplimiento de sus fines. Se rigen por la Ley 2/1974, de 13 de febrero, sobre Colegios Profesionales, por sus Estatutos Particulares, Reglamentos de Régimen Interior, y demás disposiciones estatales o autonómicas.
17 Son fines esenciales de estas Corporaciones la ordenación del ejercicio de las profesiones, la representación exclusiva de las mismas y la defensa de los intereses profesionales de los colegiados así como ejercer cuantas funciones le sean encomendadas por la Administración. Junto al ejercicio de estas potestades públicas sometidas al derecho administrativo, realizan otras actividades íntegramente sometidas al derecho privado. Para el ejercicio de su actividad tienen necesidad de mantener datos personales, por lo que dependiendo de la actividad que desarrollen, administrativa o privada, tendrán ficheros de dos naturalezas, públicos o privados. A los efectos previstos en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de carácter personal (LOPD), se podrán considerar ficheros de titularidad pública los ficheros propios de los Colegios Profesionales, que contengan los datos de carácter personal correspondientes al ejercicio de las funciones públicas de ordenación y control de la actividad profesional que dichas entidades tienen asignadas legal o estatutariamente o que les sean encomendadas por las Administraciones Públicas competentes. Es recomendable que se haga una clara distinción entre aquellos ficheros cuya única finalidad es la de llevar a cabo la gestión interna del colegio, que no implica el ejercicio de potestades jurídico-públicas, de aquellos ficheros que contienen los datos de carácter personal correspondientes a la incorporación de los colegiados al ejercicio de las funciones públicas de ordenación y control de la actividad profesional que dichas entidades tienen asignadas legal o estatutariamente, así como el ejercicio de la potestad sancionadora. FICHEROS PÚBLICOS: Contienen los datos de carácter personal correspondientes a la incorporación de los colegiados y al ejercicio de las funciones públicas de ordenación y control de la actividad profesional que dichas entidades tienen asignadas legal o estatutariamente o que les sean encomendadas por las Administraciones Públicas competentes. En cuanto a la declaración de los ficheros de titularidad pública, se informa que de conformidad con el artículo 20 de la LOPD, así como en el artículo 53.4 del Reglamento de desarrollo de la LOPD aprobado por el Real Decreto 1720/2007 de 21 de
18 diciembre, BOE de 19 de enero de 2008, (RDLOPD), la creación, modificación o supresión de los ficheros de los que sean responsables las corporaciones de derecho público y que se encuentren relacionados con el ejercicio por aquéllas de potestades de derecho público deberá efectuarse a través de acuerdo de sus órganos de gobierno, debiendo ser igualmente objeto de publicación en el «Boletín Oficial del Estado» o diario oficial correspondiente. De conformidad con el artículo 54 del RDLOPD, la disposición reguladora deberá recoger la Identificación del fichero y su finalidad, el Origen de los datos y colectivos sobre los que se pretenda obtener datos o que resulten obligados a suministrarlos, Estructura básica del fichero y el sistema de tratamiento, en su caso las Comunicaciones de datos y/o transferencias internacionales previstas, el órgano de la Administración responsable del fichero, los servicios o unidades ante los que pueden ejercitarse los derechos, y el nivel de seguridad exigible según el Título VIII del RDLOPD. En este mismo sentido, el artículo 55.1 del RDLOPD, establece que todo fichero de titularidad pública debe ser notificado a la Agencia Española de Protección de Datos, por el órgano competente de la Administración responsable del fichero para su inscripción en el Registro General de Protección de Datos, en el plazo de treinta días desde la publicación de su norma o acuerdo de creación en el diario oficial correspondiente. Para notificar los ficheros de titularidad pública, deberán cumplimentar el formulario NOTA de titularidad pública, que se encuentra disponible en la página web de la Agencia ( La AEPD y la Unión Profesional, en el desarrollo del Protocolo de Colaboración, formalizado el 15 de junio de 2000, han mantenido diferentes reuniones de trabajo, en las que se ha elaborado el Proyecto de Disposición de carácter general, por la que se crean los ficheros de titularidad pública comunes a todos los Consejos Generales y Colegios Profesionales, así como ficheros específicos para determinados colectivos. Por último, tras la entrada en vigor de la Ley 2/2007, de 15 de marzo, de sociedades profesionales (BOE nº 65 de 16/03/2007), se crea el fichero de titularidad pública de nombre SOCIEDADES PROFESIONALES, que será común para todos los Consejos Generales y Colegios Profesionales.
19 FICHEROS PRIVADOS: Son ficheros creados con la única finalidad de llevar a cabo la gestión interna del Colegio o Consejo o de adoptar mecanismos que faciliten el desempeño de la profesión colegiada cuando la adopción no implique el ejercicio de potestades administrativas ni lleve aparejada la existencia de un acto administrativo. Dentro de los ficheros privados comunes a todos los colegios profesionales se podrían enumeran a modo de ejemplo: Relativos a la gestión de recursos humanos del personal que presta sus servicios en el colegio: NOMINAS, PERSONAL, LABORAL. Relativos a la gestión contable del colegio: FACTURACIÓN, CLIENTES, PROVEEDORES, CONTABILIDAD, SUMINISTROS. El artículo 26 de la LOPD, y el art del RDLOPD, establece que los ficheros de datos de carácter personal de titularidad privada serán notificados a la Agencia Española de Protección de Datos por la persona o entidad que pretenda crearlos, con carácter previo a su creación. Por último, en el caso de que el Colegio Profesional elabore una lista de Colegiados, de conformidad con los artículos 3j) y 28 de la LOPD, y 7 c) del RDLOPD el tratamiento que se realice y el fichero que se cree, en su caso, para obtener los listados de los Colegios Profesionales, se encuadrará bajo el régimen de los ficheros y tratamientos de Titularidad Privada de conformidad con lo previsto en el Título IV Capítulo II Ficheros de Titularidad Privada, a excepción de los registros previstos en el artículo 5.2 de la Ley 44/2003, de Ordenación de Profesiones Sanitarias.
20 EJERCICIO PRÁCTICO AVANZADO Nº 1 ÁMBITO DE APLICACIÓN La secretaria del Presidente de una importante compañía eléctrica decide utilizar la agenda de contactos para enviar un regalo de navidad a los amigos y conocidos del presidente, enviando los presentes al domicilio personal de cada uno de ellos. Una de estas personas le solicita ejercitar un derecho de acceso para ver qué información particular tiene de él y por qué. La secretaria responde a su solicitud señalando que los ficheros de agenda de contacto están excluidos del ámbito de aplicación de la Ley y que por tanto no hay fichero tal y como lo define la LOPD. Es correcta la respuesta dada por la Secretaría o podría interponer una denuncia el afectado ante la Agencia Española de Protección de Datos?
21 2. CONCEPTOS FUNDAMENTALES Son conceptos que debemos conocer para el cumplimiento de los deberes que establece la normativa vigente en materia de protección de datos y el disfrute de los derechos que garantizan el respeto a la protección de los datos personales DATOS DE CARÁCTER PERSONAL Cualquier información concerniente a personas físicas identificadas o identificables. (Art. 3.a LOPD). El Reglamento de desarrollo de la Ley señala que es Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificables o identificables. (Art f RLOPD) Esta información, referida siempre a personas físicas, puede ser muy diversa, desde nombre y apellidos, hasta número de cuenta bancaria. El elemento fundamental para determinar que se trata de un dato personal es que la información, combinada o por sí misma, permita conocer datos de una persona concreta, bien por estar directamente identificada a través de algún dato, o porque pueda llegar a ser identificable por otro medio. La Sentencia del Tribunal Constitucional 292/2000 establece que el derecho a la protección de datos no se reduce sólo a los datos íntimos de la persona, sino a cualquier tipo de dato personal, sea o no íntimo, cuyo conocimiento o empleo por terceros pueda afectar a sus derechos, sean o no fundamentales, porque su objeto no es sólo la intimidad individual. De acuerdo con la definición que establece la Directiva 95/46/CE, se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural o social. También la Directiva 95/46/CE, indica en su considerando 26 que:... para determinar si una persona es identificable, hay que considerar el conjunto de los
22 medios que puedan ser razonablemente utilizados por el responsable del tratamiento o por cualquier otra persona, para identificar a dicha persona; que los principios de la protección no se aplicarán a aquellos datos hechos anónimos de manera tal que ya no sea posible identificar al interesado; que los códigos de conducta... pueden constituir un elemento útil para proporcionar indicaciones sobre los medios gracias a los cuales los datos pueden hacerse anónimos y conservarse de forma tal que impida identificar al interesado. En conclusión: Se considerará dato de carácter personal, como objeto de la protección de datos, cualquier información referente a una persona física de quien conste o podamos llegar a saber quién es su titular, por intrascendente que pueda parecernos el dato almacenado. Una persona estará identificada cuando conste en el fichero algún dato que tenga por finalidad diferenciarla del resto del colectivo cuyos datos se hayan recabado. Da igual que se la identifique por el nombre, el DNI, el número de empleado u opositor, o el más complejo código alfanumérico generado por cualquier algoritmo, siempre que su finalidad sea identificar al interesado FICHERO Todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso. (Art. 3.b LOPD). El artículo 5.1.l RLOPD introduce la matización de que ese conjunto de datos organizados deben permitir el acceso a los datos con arreglo a criterios determinados. Como ya hemos comentado al analizar el ámbito de aplicación de la Ley Orgánica 15/1999, no se trata solamente de ficheros integrados en sistemas informáticos o telemáticos, sino también de ficheros manuales que pueden estar archivados en armarios, cajones o estanterías, siempre que los datos se encuentren estructurados (organizados) por algún criterio que permita acceder fácilmente a los referidos a una determinada persona. Una matización importante en cuanto a qué se considera un fichero es la establecida por la Directiva 95/46/CE al definir el concepto de fichero de datos personales como:
23 todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica. Ejemplos típicos de tratamientos no automatizados de datos: El fichero manual, organizado en carpetas, que recoge toda la información clínica de un proceso asistencial a un paciente en un centro sanitario. El archivador existente en todos los departamentos de personal en el que se recogen los datos relevantes que se han generado a lo largo de la relación laboral entre el empleado y el empleador, y que afectan a su desarrollo. Atendiendo a los criterios de la Directiva 95/46/CE, podría considerarse un único fichero el conjunto de historias clínicas existentes en un centro, bajo una única responsabilidad, aunque físicamente el fichero esté constituido por varios ficheros independientes (un archivo de historias clínicas en cada servicio o por cada especialidad sanitaria). También podría considerarse un único fichero aunque sus diferentes partes estuvieran distribuidas en puntos separados geográficamente, siempre que los datos, la finalidad y el responsable sea el mismo. Los ficheros de titularidad pública son aquellos creados por una disposición de carácter general por las Administraciones Públicas en el cumplimiento de las funciones públicas que tengan encomendadas por la Constitución y las Leyes. El artículo 20 LOPD exige que la creación, modificación o supresión sólo pueda hacerse por medio de una disposición publicada en el BOE o Diario Oficial El artículo 5.1.m define los ficheros de titularidad pública en función de quienes sean los sujetos responsables y siempre que tengan por finalidad el ejercicio de las potestades de derecho público.
24 2.3. TRATAMIENTO DE DATOS Operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias. (Art. 3.c LOPD). El Reglamento en su Art. 5.1.t ha venido a introducir, junto a las anteriores, las operaciones y procedimientos técnicos que permitan la consulta, utilización y supresión. Prácticamente cualquier actuación vinculada al trabajo habitual que conlleve el manejo de datos personales, supone la realización de un tratamiento de datos. Ejemplos: La recogida de instancias de participantes en un proceso selectivo, siempre que se almacenen por un criterio relativo a las personas. La grabación en una aplicación informática de la cita concertada por un ciudadano para acudir a la consulta de su médico. La clasificación y archivo de la documentación recabada en el procedimiento de recogida de los datos (las instancias utilizadas en un proceso. La obtención de nuevos datos a partir de la información recabada (el establecimiento de un diagnóstico o un determinado tratamiento en función de los datos obtenidos de un paciente en su exploración). La actualización de la información existente en un fichero a partir de los nuevos datos recabados o de los obtenidos en un proceso de elaboración. El almacenamiento de los datos de forma diferenciada, excluyéndolos de otros tratamientos de datos que se realicen con el solo objeto de disponer de los mismos cuando sean demandados por las Administraciones públicas, Jueces o Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el período de prescripción de éstas (el almacenamiento de las instancias utilizadas en un proceso selectivo una vez concluido éste o el historial clínico de un paciente
25 relativo a un episodio asistencial que se ha dado por concluido). La supresión física de los datos existentes en el fichero. Facilitar el acceso a los datos de una persona por parte de un tercero, mediante cualquier tipo de comunicación, consulta, interconexión o transferencia (envío a una entidad financiera de los datos de nómina de los empleados para que se proceda al abono de las mismas) AFECTADO O INTERESADO Persona física titular de los datos que sean objeto del tratamiento a que se refiere la definición anterior. (Art. 3.e LOPD). Es preciso tener muy en cuenta que sólo pueden ser afectados las personas físicas, una persona jurídica no puede nunca identificarse con el afectado o interesado titular de datos personales. Resumen: La protección de datos tiene como objeto una serie de derechos que se configuran como personalísimos, por lo que sólo podrán ser ejercidos por el propio titular, salvo que nos encontremos en el supuesto de un menor o un incapacitado, en cuyo caso podrán ejercerse por medio o valiéndose de su representante legal CONSENTIMIENTO Toda manifestación de voluntad libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen. (Art. 3.h LOPD). Para que el consentimiento sea válido no es siempre necesario que se preste de forma expresa, la Ley admite también, en determinados casos, el consentimiento tácito o presunto. Una de las formas más usuales de prestar el consentimiento para el tratamiento de datos en ficheros de titularidad pública, es a través de la cumplimentación de impresos, en los que el consentimiento viene prestado por la simple declaración de los datos personales que se reflejan en el cuestionario por el propio interesado.
26 Cuando los datos se recaben directamente del interesado por medio de una entrevista personal, se puede entender que éste da su consentimiento de forma tácita, al ser él mismo el que nos facilita la información, siempre que se hayan cumplido los principios que establece la Ley Orgánica 15/1999 para el tratamiento de los datos (información previa y adecuación de los datos, por ejemplo) CESIÓN O COMUNICACIÓN DE DATOS Toda revelación de datos realizada a una persona distinta del interesado. (Art. 3.i LOPD). El artículo 5.1.c acota el concepto de toda revelación al Tratamiento de datos que supone su revelación a una persona distinta del interesado. Esto supone delimitar la revelación a las operaciones o procedimientos técnicos que permitan realizar las actuaciones que taxativamente se recogen en el apartado t) del mismo artículo. La cesión de datos es uno de los puntos conflictivos de la normativa sobre protección de datos. Como regla general, los datos personales sólo pueden ser revelados a persona o entidad distinta del interesado con el consentimiento inequívoco de éste. Otros dos conceptos estrechamente relacionados con la cesión son los de tercero y destinatario, que son definidos en el artículo 5.1. h y r del Reglamento de la siguiente forma: Tercero: la persona física o jurídica, pública o privada u órgano administrativo distinto del afectado o interesado, del responsable del tratamiento del encargado del tratamiento y de las personas autorizadas para tratar los datos bajo la autoridad directa del responsable del tratamiento o del encargado del tratamiento. Destinatario: la persona física o jurídica, pública o privada, u órgano administrativo al que revelen los datos. Ejemplos de cesiones de datos: Se produce una cesión cuando los datos que se han obtenido para una determinada finalidad se ceden a un tercero para el ejercicio de otra finalidad distinta de aquella para la que se recogieron.
27 La simple visualización por un tercero o la comunicación de cualquier dato al mismo, por ejemplo al realizar una consulta telefónica, constituye una cesión de datos RESPONSABLE DEL FICHERO Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo que decide sobre la finalidad, contenido y uso del tratamiento. (Art. 3.d LOPD). El Reglamento en su art. 5.1.q amplia la interpretación a toda persona que pueda tomar la decisión sóla o conjuntamente. Dentro del ámbito de los ficheros de titularidad pública, el responsable del fichero siempre es un órgano administrativo. El responsable del fichero es quien decide la creación del fichero, para qué se va a utilizar y qué uso se va a dar a éste. El responsable del fichero es la entidad obligada a dar respuesta a los ciudadanos ante el ejercicio de sus derechos de acceso, rectificación, cancelación y oposición. El responsable del fichero, en el supuesto de ser un órgano de la Administración pública, es el sujeto pasivo contra quien se dirigirá el procedimiento por infracción de Administración pública. Por ejemplo, en el caso de los Ayuntamientos el responsable será una Concejalía o un área determinada, que decida sobre la finalidad, contenido y uso del tratamiento RESPONSABLE DEL FICHERO Persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento. Art. 3.g LOPD. El Reglamento en su art. 5.1.i vuelve a concretar mucho más lo manifestado por la LOPD y actualizándolo al tiempo transcurrido desde su creación señalando que el encargado será La persona física o jurídica, pública o privada u órgano administrativo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación
28 para la prestación de un servicio. El encargado de tratamiento tiene una especial importancia cuando hablamos de tratamiento de datos por parte de organismos públicos. En múltiples ocasiones las Administraciones contratan servicios de mantenimiento de equipos informáticos, servicios de recogida de datos a través de encuestas, etc. El encargado de la realización de estos servicios se constituye normalmente en encargado de tratamiento. El encargado de tratamiento está legitimado para acceder a los datos personales obrantes en el fichero sin el requisito del consentimiento previo del afectado, siempre que la relación entre el primero y el responsable del fichero esté formalizada en un contrato que obedezca a fines lícitos y legítimos y se especifiquen las condiciones en que se va a llevar a cabo el tratamiento y que la utilización de los datos será únicamente para los fines establecidos por el responsable del fichero. Un ejemplo típico de encargado del tratamiento es la empresa con la que podemos establecer una relación contractual para que se encargue de la destrucción de los documentos que contienen datos de carácter personal sin tener por tanto por qué mantener en mis archivos. Otro supuesto es cuando encargo a una empresa u otro organismo de la Administración que almacene, custodie y me facilite la gestión de un archivo documental para cuya explotación yo no cuento con recursos directos suficientes (el supuesto típico de externalización de la gestión del fichero de historias clínicas de un centro hospitalario). También constituirá un tratamiento de datos el encargo a un tercero para que realice una campaña de correo personalizado (mailing) a las personas que están contenidas en un fichero determinado y que previamente no se han opuesto al envío publicitario, salvo que los datos los hubiera obtenido el responsable del fichero de fuentes accesibles al público (por Ej. Guías telefónicas) PROCEDIMIENTO DE DISOCIACIÓN Todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable. (Art. 3.f LOPD y art. 5.1.e
29 RLOPD). Cuando los datos personales no permiten la identificación de una persona concreta pierden el carácter de personales, quedando al margen de la normativa sobre protección de datos. Un ejemplo típico de disociación es el realizado para el desarrollo de funciones de estadística. La utilización de este procedimiento, con carácter previo al acceso y tratamiento de los datos, permite eximir al mismo del cumplimiento de las obligaciones que establece la Ley Orgánica 15/1999, por ejemplo de requerir el consentimiento del interesado para poder utilizar esos datos en el tratamiento previsto FUENTES ACCESIBLES AL PÚBLICO Aquellos ficheros cuya consulta puede ser realizada por cualquier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación. Art. 3.j LOPD. Las fuentes de acceso público están enumeradas y tasadas por la LOPD y desarrolladas por el RLOPD. Así, únicamente son consideradas como fuentes de acceso público: El censo promocional (todavía sin regular) y que estará formado con los datos del nombre, apellidos y domicilio que constan en el censo electoral. Las guías de servicios de comunicaciones electrónicas que c onten ga n: No mbre, título, profes ión, acti vidad, perten e ncia al grupo, grado acadé mic o y dirección p rofesional (d o micilio, te léfono, fa x, e mail) Las listas de personas pertenecientes a grupos de profesionales, Los diarios y boletines oficiales Los medios de comunicación. Siempre que una norma reguladora en materia de protección de datos haga referencia a que los datos se hayan obtenido de una fuente accesible al público, debe tenerse en cuenta la enumeración con carácter exhaustivo que hace la Ley, no pudiendo considerar fuente accesible al público (en materia de protección de datos) ninguna
30 otra fuente, aun cuando al crear un fichero se indique en su propia disposición de creación que tendrá carácter de acceso público DEFINICIONES A EFECTOS DE LO DISPUESTO EN EL REGLAMENTO DE MEDIDAS DE SEGURIDAD Usuario: Sujeto o proceso autorizado para acceder a datos o recursos. También los procesos que permitan acceder a datos r recursos sin identificación de un usuario físico. Por Ej. en un Ayuntamiento un usuario puede ser un procedimiento lógico que se asigna a todos los concejales y que mediante el mismo pueden acceder a unos datos determinados que quedarán perfectamente contemplados en la definición de ese usuario como proceso. El personal al servicio del responsable del fichero o encargado del tratamiento que tengan acceso a los datos de carácter personal como consecuencia de tener encomendadas tareas de utilización material de los datos almacenados o que se almacenarán en los ficheros. Los usuarios están obligados al cumplimiento de las medidas de seguridad establecidas para el tratamiento de los datos y están sujetos al deber de secreto. Aunque los usuarios no tienen capacidad de decisión en la gestión del tratamiento de datos, es de vital importancia que éstos conozcan y se atengan fielmente a las disposiciones establecidas en la Ley Orgánica 15/1999. Los usuarios son los que mantienen un contacto directo con los datos personales, y en muchas ocasiones, directamente con las personas titulares de los datos. Sistema de Información: Conjunto de ficheros, tratamientos, programas, soportes y en su caso, equipos empleados para el tratamiento de datos de carácter personal. Sistema de tratamiento: Modo en que se organiza o utiliza un sistema de información. Atendiendo al sistema de tratamiento, los sistemas de información podrán ser automatizados o no, o solo parcialmente.
31 Control de acceso: mecanismo que en función de la identificación ya autenticada permite acceder a datos o recursos. Identificación: procedimiento de reconocimiento. Autenticación: procedimiento de comprobación. Esto se puede realizar mediante contraseña. Responsable de Seguridad: persona/s a las que el Responsable del Fichero ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables. Ej. Designación dentro de una Concejalía Responsable del Ficherocontrolar y coordinar las medidas de seguridad. EJERCICIO PRÁCTICO AVANZADO Nº 2 CONCEPTO DE TRATAMIENTO. Un Agente de Mapfre le indica a la consultora de LOPD que pretende realizarle la adaptación que no maneja ningún dato de carácter personal puesto que toda la información que recoge se graba por un lado en una aplicación y un ordenador propiedad de Mapfre y por otro lado la información en papel se envía a la central de Mapfre. Debería adaptarse a la LOPD o no trata ningún dato de carácter personal por ser Mapfre la Responsable del Fichero?
32 3. PRINCIPIOS QUE RIGEN TODO TRATAMIENTO DE DATOS PERSONALES Estos principios de obligado cumplimiento, que la Ley Orgánica 15/1999 agrupa en el título II, son la base de todo tratamiento de datos personales. El responsable del fichero o el encargado del tratamiento de los datos, entre otras muchas obligaciones, debe asegurarse que cualquier tratamiento de los datos se adapte al cumplimiento de estos principios. Su incumplimiento puede ser motivo de sanción, aplicándose el procedimiento correspondiente, en función de la naturaleza pública o privada del responsable del fichero, de acuerdo con el régimen sancionador que establece la Ley Orgánica 15/ El principio de CALIDAD de los datos La aplicación de este principio supone que los datos de carácter personal sólo podrán recogerse para su tratamiento cuando sean adecuados, pertinentes y no excesivos para el cumplimiento de las finalidades determinadas, explícitas y legitimas para las que se hayan obtenido. La Ley Orgánica 15/1999, a través del establecimiento de este principio, trata de introducir un criterio de racionalidad y proporcionalidad en el tratamiento de los datos personales. Las finalidades del fichero deben estar determinadas, ser explícitas y legítimas. No podrán además ser utilizados los datos para finalidades incompatibles con las que motivaron su recogida. No se considerará incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos. Toda actividad de recogida de datos personales debe estar fundamentada en una finalidad explícita. No es posible recopilar datos para su uso de forma generalizada y determinada a posteriori. Las Administraciones públicas deberán respetar ese principio de relación entre los datos recabados y las finalidades que tengan encomendadas, pero además, el procedimiento para poder crear un fichero con el que posteriormente abordar el tratamiento de los datos, requiere que se haga mediante disposición de carácter general publicada en el boletín o diario oficial correspondiente.
33 Un posible uso que contempla la Ley Orgánica 15/1999 como legítimo, aun cuando los datos se hayan recabado para otra finalidad concreta, es su uso con fines históricos, estadísticos o científicos, si bien habrá que analizar otras posibles normas que incidan sobre la forma de realizar esos tratamientos. Por ejemplo, la legislación sanitaria establece que el tratamiento de los datos contenidos en la documentación o historia clínica de los pacientes con fines de investigación o docencia se realizará siempre con datos disociados o con consentimiento previo del afectado. Los datos personales deben ser exactos y mantenerse al día para que respondan con veracidad a la situación actual del afectado. Por tanto, si resultan ser inexactos o incompletos, deberán ser cancelados y sustituidos de oficio por los correspondientes datos rectificados o completados y todo ello en el plazo de diez días desde que se tuvieran conocimiento, salvo que la legislación aplicable establezca procedimiento o plazo distinto (art. 8.5 RLOPD) Ej. El art. 16 LRBRL determina los datos que pueden ser incluidos en el Padrón municipal, esto es determina los datos que son pertinentes, adecuados y no excesivos de acuerdo con la finalidad. El art. 17 de la misma Ley señala que la obligación de mantener actualizado el Padrón, si no se llevaran a cabo las actuaciones y operaciones necesarias para mantener actualizados el Padrón el INE, previo informe del Consejo de Empadronamiento, podrá requerirle la actividad pudiendo incluso ejecutar sustitutoriamente. Desde el punto de vista de la protección de datos, es preferible no disponer de un determinado dato de una persona, antes que tenerlo erróneo. Es preferible que el responsable del fichero no pueda enviar por correo determinada información a una persona, por no disponer de su dirección, que enviarla a un lugar equivocado y perder el control de quien acaba recibiendo esos datos. Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes, y no se conservarán en forma que permitan la identificación del interesado durante un período superior al necesario para la finalidad en base a la que fueron recabados o registrados (art. 8.6 RLOPD).
34 Una vez cumplida la finalidad para la que se recabaron los datos, o cuando cambien las circunstancias de las personas contenidas en los ficheros haciendo no pertinente el mantenimiento de los datos, éstos deberán ser cancelados. La cancelación, como borrado físico de los datos, en muchas ocasiones no es posible, pudiendo existir una norma que obligue al mantenimiento de los datos durante un período determinado de tiempo, o las posibles responsabilidades que se generen en el tratamiento hacen que los datos deban conservarse hasta la prescripción de las mismas. En estos supuestos, los datos deben bloquearse, quedando almacenados de forma diferenciada del resto de los datos sometidos al tratamiento y asegurando que quedan excluidos de éste, estando sólo a disposición de las Administración públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento. Si la conservación de los datos más allá de la consecución de la finalidad para que se recabaron es por fines históricos, estadísticos o científicos, los datos deberán conservarse, siempre que sea posible, disociados, aunque esta previsión está pendiente de desarrollo reglamentario. Los datos de carácter personal serán almacenados de forma que permitan el ejercicio del derecho de acceso, salvo que sean legalmente cancelados. No es posible alegar como causa para denegar el ejercicio del derecho de acceso la imposibilidad de su realización como consecuencia del modo en que los datos están almacenados puesto que todas las normas han establecido plazos para la adaptación de los tratamientos de datos a estos principios.
35 EJERCICIO PRÁCTICO AVANZADO Nº 3 CALIDAD Una empresa de la construcción va a contratar a un trabajador como jefe de obra. A la hora de realizar la ficha de empleado le exigen que rellene un amplio cuestionario de salud. El trabajador se niega alegando que ha pasado el reconocimiento médico y ha sido Certificado como apto. Podría el trabajador negarse al cumplimiento de esos datos o la empresa le puede obligar por ser necesario para el desarrollo de su puesto de trabajo y como exigencia de la Ley de Prevención de Riesgos Laborales?
36 3.2. Principio de INFORMACIÓN en la recogida de datos El responsable del fichero debe arbitrar la fórmula que permita informar a los afectados de determinados extremos en el momento de la recogida de los datos, de modo que esta información sea conocida por el afectado antes de prestar su consentimiento. Sólo cuando el ciudadano ha sido informado de forma expresa, precisa e inequívoca de la finalidad de la recogida de sus datos, podrá decidir si quiere que éstos estén, o no, almacenados en un fichero y que se utilicen, o no, para una determinada finalidad. Los usuarios del labor fichero tienen en esta fase de recogida de datos una muy importante, la de procurar que esta información sea conocida por el interesado en el momento de recabar sus datos. La información que se debe facilitar a los ciudadanos será expresa, precisa e inequívoca. No es admisible una información genérica que no permita saber quién y para qué se están recabando los datos. La información que debe llegar al ciudadano que va a prestar sus datos personales es la siguiente: a) Conocimiento de que sus datos van a ser almacenados en un fichero, la finalidad para la que se recogen y los destinatarios de la información. b) Si es obligatoria o no su respuesta a las distintas preguntas que se le planteen. c) Las consecuencias de la obtención de los datos o de su negativa a suministrarlos. d) La posibilidad de ejercitar sus derechos de acceso, rectificación, cancelación y oposición. e) La identidad y dirección del responsable del fichero. Esta información se podrá facilitar al afectado o interesado por cualquier medio que permita asegurar que ha recibido la información que contempla este principio: de palabra, por escrito en el propio formulario, impreso o encuesta en la que se recojan sus datos, o en documento aparte, mediante carteles o anuncios situados en el lugar donde vayan a recabarse los datos que completen aquella información que no se facilite de palabra o en el impreso en que se recaben los datos, etc.
37 Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias que se han indicado anteriormente. Cuando se recaban datos directamente del interesado utilizando un cuestionario que él cumplimenta, parte de la información que se debe facilitar está ya recogida en el propio impreso, por lo que no es necesario en ese caso un esfuerzo adicional para cumplir con este principio de información. Por ejemplo: normalmente el responsable del fichero figurará en el encabezado del impreso y la finalidad para la que se recaben los datos será el título del formulario. No será necesaria la información a que se refieren las letras b), c) y d), si su contenido se deduce claramente de la naturaleza de los datos personales que se solicitan o de las circunstancias en que se recaban. Muchas veces resulta obvio si es necesario o no facilitar el dato que se está demandando, atendiendo a la naturaleza de la relación entre el responsable del fichero y el interesado, así como las consecuencias de no facilitar determinada información, sobre todo en los supuestos de relaciones con las Administraciones Públicas. Si solicito por ejemplo una pensión no contributiva cuya concesión puede depender, entre otros datos, de mi nivel de rentas, es obvio que deberé facilitar estos datos al responsable del fichero para que pueda valorar si tengo derecho a la misma o no. También es obvio que si no facilito esos datos, difícilmente se podrá realizar la valoración y reconocerme mi derecho. En el caso de que los datos de carácter personal no hayan sido recabados del interesado, éste deberá ser informado de forma expresa, precisa e inequívoca, por el responsable del fichero o su representante, dentro de los tres meses siguientes al momento del registro de los datos, salvo que ya hubiera sido informado con anterioridad, del contenido del tratamiento, de la procedencia de los datos, así como de lo previsto en las letras a), d) y e). Ej. Es habitual que en el cuestionario sobre el Padrón Municipal se incluya una cláusula donde se le informe de lo previsto en el Art. 5 de la LOPD
38 No es preciso cumplir con el requisito de informar a posteriori al interesado, cuando los datos no se hayan recabado directamente de él, en los siguientes supuestos: Cuando una ley lo prevea. Cuando el tratamiento tenga fines históricos, estadísticos o científicos. Cuando la información al interesado resulte imposible o exija esfuerzos desproporcionados, a criterio de la Agencia de Protección de Datos, en consideración al número de interesados, a la antigüedad de los datos y a las posibles medidas compensatorias.
39 EJERCICIO PRÁCTICO AVANZADO Nº 4 INFORMACIÓN Una empresa de mudanzas manda una oferta de servicios a unos guardias civiles para realizar la mudanza. Dicha empresa se ha enterado de que los guardias civiles tienen cambio de destino a través del Boletín Oficial de la Guardia Civil y conocedores de que disponen de una cantidad para mudanzas ofrecen este servicio aprovechando esta coyuntura. Uno de los guardias civiles denuncia esta situación ante la Agencia porque no hay ninguna cláusula donde se informe quien es el Responsable del Fichero ni la posibilidad de ejercicio de los derechos ARCO. La empresa argumenta que los datos son extraídos de una fuente de acceso público y que por tanto están tratados de acuerdo a la normativa de LOPD. Podría ser sancionada en algún caso la Empresa?
40 3.3. Principio de CONSENTIMIENTO Conforme a este principio, legitimador de todo tratamiento, el titular de los datos es el único que puede decidir cómo, cuándo, dónde y por quién s on tratados sus datos El consentimiento puede ser tácito, salvo cuando la LOPD exige que sea expreso o expreso y por escrito. Si el interesado en el plazo de 30 días no manifiesta su negativa al tratamiento se entenderá que consiente. En todo caso corresponde al responsable del tratamiento la prueba de la existencia del consentimiento del afectado por cualquier medio de prueba (art RLOPD) El consentimiento permite al afectado ejercer el control del uso de sus datos personales, lo que se viene denominando como derecho de autodeterminación informativa. La Ley Orgánica 15/1999 exige la prestación del consentimiento previo e inequívoco del afectado para el tratamiento de sus datos, pero establece una serie de excepciones, de manera que no es necesario prestar consentimiento: 1. Cuando una ley así lo dispone. Obsérvese que se hace referencia a una norma con rango de Ley, no bastando cualquier otro tipo de norma. Estamos ante un claro supuesto de reserva legal. 2. Cuando los datos son recogidos para el ejercicio de las funciones propias de las Administraciones públicas en el ámbito de sus competencias. Ej. Padrón Municipal o la concesión de una licencia de obras constituye un ejemplo claro de función propia de una Administración pública, pues sólo un Ayuntamiento está. 3. Cuando se refieren a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y los datos personales son necesarios para el mantenimiento y cumplimiento de ésta.
41 En este supuesto podría considerarse que no es necesario el consentimiento del afectado, sino que éste está incluido en el consentimiento en virtud del cual se establece y perfecciona la relación negocial, laboral o administrativa. Cuando firmo un contrato de trabajo en un departamento de personal, está implícito mi consentimiento para el tratamiento de mis datos de carácter personal, pero, qué datos podrá tratar el departamento de personal?. Sólo los adecuados, pertinentes y no excesivos para la relación que se está estableciendo, para el ejercicio de la relación laboral. 4. Cuando el tratamiento tenga como finalidad proteger un interés vital del interesado y éste se encuentre física o jurídicamente incapacitado para dar su consentimiento. Esta excepción es específica para el tratamiento de los datos en la actividad de prestación sanitaria asistencial y el afectado está incapacitado para dar su consentimiento. Se permite el tratamiento de datos personales sin consentimiento del interesado en este caso pues existe una colisión entre el derecho a la vida o a la integridad física y el derecho a la intimidad y a la protección de datos. Parece obvio que debe primar el derecho a la vida sobre el derecho a la protección de datos, pero esta excepción a la necesidad de consentimiento debe ser matizada. Se podrán tratar los datos del interesado, sin su consentimiento, en el ejercicio de la actividad asistencial, pero para cualquier otra finalidad a la que se pretendan destinar esos mismos datos (investigación, docencia, etc.) se requerirá consentimiento del mismo, siempre que no exista una ley específica que diga lo contrario. 5. Cuando los datos figuren en fuentes accesibles al público. Recordando que las fuentes están enumeradas de forma limitativa en la Ley Orgánica 15/1999, tal como se indicó al exponer la definición de que es una fuente accesible al público.
42 Sin embargo la excepción del consentimiento no exime de la obligación de informar en los términos que hemos visto en el punto anterior, relativo al principio de información, ni permite el tratamiento de cualquier dato, sino únicamente aquellos que cumplan el principio de calidad (datos adecuados, pertinentes y no excesivos). La revocación del consentimiento podrá realizarse cuando exista causa justificada para ello y no se le atribuyan efectos retroactivos. El plazo para cesar en el tratamiento será de 10 días desde la solicitud debiendo confirmar el cese cuando así sea solicitado por el interesado.
43 EJERCICIO PRÁCTICO AVANZADO Nº 5 CONSENTIMIENTO Un menor de una escuela denuncia al colegio porque ha mandado las notas a sus padres sin su consentimiento, ya que es mayor de 14 años y es a él a quien corresponde dar el consentimiento para la cesión de datos personales como son su expediente académico. Sería sancionable la actitud del colegio ya que debió haber obtenido el consentimiento previo del menor o existe alguna excepción al consentimiento?
44 3.4. DATOS ESPECIALMENTE PROTEGIDOS El tratamiento especial de determinados datos, aquellos relativos a la ideología, la afiliación sindical, la religión o creencias, el origen racial, la salud y la vida sexual, se constituye en un principio más del tratamiento de datos personales. La Ley Orgánica 15/1999 prevé la necesidad de proteger especialmente unos datos que, por la información a la que se refieren, pueden generar con mayor facilidad lesiones en otros derechos fundamentales, además del propio derecho a la protección de datos. Podemos pensar que un tratamiento inadecuado de datos relativos al origen racial o a la salud, puede vulnerar el derecho a la igualdad y a la no discriminación. El derecho a la libertad de pensamiento o a la libertad religiosa, puede ser lesionado por el tratamiento de datos relativos a la ideología o las creencias sin las debidas garantías, etc. Precisamente para evitar estos peligros, la Ley establece una serie de refuerzos, con el fin de que se preste un especial cuidado en el tratamiento de estos datos, de manera que: Reitera el mandato Constitucional de que nadie puede ser obligado a declarar sobre su ideología, religión o creencias; lo que afecta al modo específico de cumplimiento del principio de información que se ha analizado anteriormente (obligación de informar de qué datos son obligatorios o no, y de las consecuencias de que no se suministren los datos que se soliciten). Prohíbe expresamente la creación de ficheros con la finalidad exclusiva de almacenar datos especialmente protegidos. Exige el consentimiento expreso y por escrito del afectado si los datos son de ideología, afiliación sindical, religión o creencias; y consentimiento expreso cuando los datos se refieran al origen racial, la salud o la vida sexual. Debe recomendarse que siempre que se traten datos especialmente protegidos, con independencia de cuáles sean, se procure obtener constancia del consentimiento expreso en forma escrita, puesto que recae sobre el responsable del tratamiento la carga de la prueba de demostrar que se disponía del consentimiento, con ese especial atributo de expreso.
45 En el caso de comisión de infracciones en materia de protección de datos, la gravedad de las mismas aumenta en un grado cuando el fichero contiene datos especialmente protegidos. Exige el establecimiento de medidas de seguridad de nivel alto para los ficheros que contienen datos especialmente protegidos, también llamados sensibles. Establece que los datos personales relativos a la comisión de infracciones penales o administrativas sólo pueden ser incluidos en ficheros de titularidad de las Administraciones públicas competentes en los supuestos previstos en las respectivas normas reguladoras. No obstante todo lo anterior, la propia Ley Orgánica 15/1999 establece una excepción al consentimiento expreso y por escrito del afectado para el tratamiento de datos especialmente protegidos: cuando dicho tratamiento resulte necesario para la prevención o el diagnóstico médicos, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios, siempre que dicho tratamiento se realice por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta asimismo a una obligación equivalente de secreto. En este supuesto concreto (atención asistencial por un profesional sanitario), el tratamiento de los datos especialmente protegidos puede realizarse amparado en un consentimiento tácito e implícito en la propia relación asistencial. La misma situación analizada en el párrafo anterior se produce cuando el tratamiento de los datos especialmente protegidos sea necesario para salvaguardar el interés vital del afectado o de otra persona, en el supuesto de que el afectado esté física o jurídicamente incapacitado para dar tal consentimiento. Esta circunstancia deriva de lo ya indicado anteriormente sobre la primacía del derecho a la vida sobre la protección de datos, aunque sean especialmente protegidos. Debe tomarse en consideración la ambigüedad con que se enumeran los que la Ley considera datos especialmente protegidos. En el caso concreto de los datos referentes a la salud, deben considerarse incluidos los datos que hagan referencia a un diagnóstico médico concreto, pero también aquellos otros que, aun de forma indirecta, hagan referencia a la salud de una persona.
46 El dato que indica que una determinada persona se encuentra en la situación de Incapacidad Laboral Transitoria es un dato de salud, incluso si se desconoce la causa última (que como regla general no deberá ser conocida) de tal situación. Incluso el hecho de que no conste que una persona se encuentra en la situación de ILT, también puede considerarse un dato de salud (de buena salud). Si los datos (aun cuando sólo sea el nombre) de una persona figuran en un fichero de damnificados por determinada enfermedad, para gestionar la concesión de ayudas, debe considerarse como que contiene datos de salud. En particular no será necesario el consentimiento para la comunicación de datos entre organismos, centros y servicios del Sistema Nacional de Salud cuando se realice para la atención sanitaria (Art RLOPD) CESIÓN O COMUNICACIÓN DE DATOS La Ley permite la cesión de los datos para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario. Es decir para que pueda llevarse a cabo la cesión deberán coincidir varios elementos fundamentales: o Una premisa, que la cesión se realice para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario. o Una condición general, que exista previo consentimiento del interesado. o Una información necesaria, que el interesado o afectado tenga conocimiento de la identidad del cesionario y de la finalidad para la que se van a ceder los datos. El consentimiento, elemento fundamental para todo tratamiento de datos, no será necesario para la cesión en algunos casos: 1. Cuando la cesión esté autorizada por una ley. Debe tratarse de una ley, no siendo suficiente cualquier otro tipo de norma o disposición.
47 2. Cuando se traten datos recogidos de fuentes accesibles al público (de alguna de las fuentes que enumera la LOPD y concreta el RLOPD). Sólo tienen la consideración de fuentes accesibles al público, a efectos de protección de datos: el censo promocional, guías de servicios de comunicaciones electrónicas, las listas de personas pertenecientes a grupos de profesionales, los diarios y boletines oficiales y los medios de comunicación. Las Administraciones sólo podrán comunicar a responsables de ficheros de titularidad privada cuando se encuentren autorizadas por una Ley. 3. Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros, siempre que se limite a la finalidad que la justifique. Solo es legítima cuando se limite a la finalidad que lo justifique. 4. Cuando la comunicación tenga por destinatarios al Defensor del Pueblo, Ministerio Fiscal, Jueces o Tribunales o Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Igualmente a Instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas. 5. Cuando la cesión de datos relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero, o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica. En el supuesto de que la finalidad sea la realización de estudios epidemiológicos, con el objeto de velar por la salud desde un punto de vista preventivo, la cesión de datos para estos fines podrá hacerse sin consentimiento del interesado, siempre que el estudio epidemiológico se realice en los términos que establezca la legislación específica sobre sanidad.
48 6. Cuando la cesión se produzca entre Administraciones públicas para el ejercicio de las mismas competencias. Atendiendo al principio de cooperación y asistencia activa entre las administraciones que promueve la Ley 30/1992, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, podrá realizarse la cesión de datos entre dos administraciones cuando ambas tengan encomendado el ejercicio de la misma competencia para la que se recabaron los datos del interesado. 7. Cuando la cesión se produzca entre Administraciones públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos. La excepción que contempla este supuesto está delimitada, desde un punto de vista subjetivo: cuando la cesión se produzca entre Administraciones públicas y, desde un punto de vista objetivo: cuando el tratamiento de los datos cedidos sea exclusivamente con fines históricos, estadísticos o científicos. 8. Cuando los datos sean obtenidos o elaborados por una Administración pública con destino a otra. Atendiendo también al mismo principio de cooperación y asistencia, se podrán ceder los datos sin consentimiento del interesado cuando éstos sean recabados por un órgano de la Administración en el ejercicio de una labor de asistencia, con destino a otra Administración que es la efectivamente competente para el ejercicio de la función para la que se recaba la información. En estos dos últimos supuestos de excepción a la regla general de consentimiento, debe considerarse la necesidad establecida por el principio de información, de que el interesado pueda saber en el momento previo a la recogida de los datos, cuál va a ser el destino de los mismos, debiendo ser informado de forma expresa, precisa e inequívoca.
49 EJERCICIO PRÁCTICO AVANZADO Nº 6 CESIÓN Un deportista de judo perteneciente a la federación madrileña recibe una invitación de la federación española para participar en los campeonatos estatales. En dicha carta le requieren información para ampliar la ficha que poseen con sus datos personales. El deportista que no ha sido informado de esta cesión plantea una denuncia ante la Agencia Española por utilizar información personal suya sin haber dado su consentimiento. Puede la Federación Española utilizar esta información cedida por la Federación de Madrid sin el previo consentimiento del afectado?
50 3.6. ACCESO A DATOS POR CUENTA DE TERCEROS. EL ENCARGADO DEL TRATAMIENTO. Es el acceso permitido a terceros que no tienen la condición de responsable del fichero, usuario o interesado, sin que por ello se produzca una cesión o comunicación de datos. Se trata de la posibilidad de que los datos personales puedan ser tratados por personas distintas de los usuarios de la propia organización del responsable del fichero, por encargo de éste. Esta tercera persona se convierte en este caso en Encargado del Tratamiento, y presta servicios al responsable del fichero, siempre que dichos servicios tengan como objeto una finalidad lícita y legítima Por ejemplo, si un Ayuntamiento encarga la gestión informática del padrón a una empresa privada, dicho encargo sería contrario a la Ley de Bases de Régimen Local, que en su artículo 17 únicamente habilita a las Diputaciones provinciales, Cabildos y Consejos insulares a asumir la gestión informática del padrón en los supuestos que los Ayuntamientos no dispongan de capacidad económica para ello. La relación que se establece para el tratamiento de los datos personales debe regularse en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, en el que conste: Que el encargado únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento. Las medidas de seguridad que el encargado del tratamiento está obligado a implementar. Que el encargado del tratamiento no utilizará los datos con fines distintos a los que figuren en el contrato. Que el encargado del tratamiento no cederá los datos a otras personas, ni siquiera para su conservación.
51 Este punto de las estipulaciones que debe contener el contrato es muy importante, ya que trata de evitar que se puedan producir una serie de encargos en cadena. Sólo el responsable del fichero podrá encargar a un tercero el tratamiento de los datos. Que una vez cumplida la prestación, los datos serán destruidos o devueltos al responsable, al igual que cualquier soporte o documentos en que consten datos objeto del tratamiento. El encargado del tratamiento responderá de las infracciones en las que hubiera incurrido personalmente, equiparándose en tal caso su figura, en materia de responsabilidad, a la del responsable del tratamiento, con independencia de las posibles y concretas responsabilidades propias del responsable del tratamiento. El artículo 21 del RLOPD ha introducido una reclamación solicitada hace tiempo por parte de la Doctrina cual es la posibilidad de Subcontratación de los servicios. El principio general es que no se podrá subcontratar con un tercero salvo que el responsable del tratamiento autorice a ello realizándose esta en nombre y por cuenta del responsable. Sin embargo el apartado segundo de este artículo ha articulado una serie de excepciones siempre y cuando se cumplan los requisitos siguientes: Se especifiquen en contrato los servicios que puedan ser objeto de subcontratación. El tratamiento de datos se ajuste a las instrucciones del Responsable del Fichero. Exista contrato entre el Encargado del tratamiento y la empresa subcontratista. En estos casos el Subcontratista será considerado Encargado del tratamiento.
52 EJERCICIO PRÁCTICO AVANZADO Nº 7 ENCARGADO DEL TRATAMIENTO Un empresario tiene dos empresas familiares con 2 trabajadores en cada empresa que realizan tareas administrativas en ambas, comparten la misma oficina y utilizan los mismos medios logísticos. Deberían tener firmados contratos de encargados del tratamiento entre ambas sociedades o como tienen el mismo Responsable del Fichero y comparten todo son usuarios todos?
53 4. OBLIGACIONES DEL TITULAR DEL FICHERO 4.1. DEBER DE SECRETO El deber de secreto, respecto a los datos personales tratados, es una obligación que corresponde al responsable del fichero, al encargado de tratamiento, si lo hubiera, y a todos aquellos que intervengan en cualquier fase del tratamiento de datos de carácter personal. Esta obligación se mantiene incluso finalizada la relación que permitió el acceso al fichero. No es necesario que exista una dependencia laboral, funcionarial o administrativa indefinida para que el usuario con acceso al fichero esté sometido a este deber de secreto, el desempeño de cualquier prestación o trabajo que permita el acceso a datos personales, genera automáticamente la obligación de cumplir con este principio. No debe confundirse este deber de secreto con el secreto profesional al que están sometidas determinadas personas, en función de la profesión que ejercen. Este deber de secreto es un deber genérico que alcanza a cualquier persona que intervenga en el tratamiento de los datos PRINCIPIO DE SEGURIDAD DE LOS DATOS El responsable del fichero deberá adoptar las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos personales integrados en los ficheros, evitando que éstos puedan perderse, alterarse, usarse o ser accesibles por personas no autorizadas. En el supuesto de ficheros informatizados que contienen datos de carácter personal, se ha producido un desarrollo reglamentario de este principio mediante el Real Decreto 1720/2007 por el que se aprueba el Reglamento de desarrollo de la LOPD. De acuerdo con este Reglamento: No se podrán registrar datos de carácter personal en los ficheros que no reúnan las condiciones que se determinan por vía reglamentaria. Las medidas de seguridad a adoptar se deben recoger en el documento de seguridad y se deberán dar a conocer a todos los usuarios del sistema de información, quedando obligados a su cumplimiento.
54 Se prevé el establecimiento de distintos niveles de medidas de seguridad dependiendo de los datos que contenga el fichero, de manera que: Serán de nivel básico para todos los ficheros que contengan datos personales. Serán de nivel medio cuando, además, contengan datos relativos a infracciones administrativas o penales, Hacienda Pública, entidades financieras, información sobre solvencia patrimonial y crédito, entidades Gestoras d e la S eguridad Social, Mutuas así como aquellos ficheros contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos. Serán de nivel alto cuando en el fichero se traten datos sobre ideología, afiliación sindical, religión o creencias, origen racial, salud o vida sexual. También aquellos que contengan o se refieran a datos recabados para fines policiales y los que contengan datos derivados de actos de violencia de género. Excepciones: Bastarán las medidas de seguridad básicas cuando se utilicen datos de nivel alto siempre que la finalidad sea realizar una transferencia dineraria a las entidades de las que sean asociados o miembros. Ficheros no automatizados en los que incidental o accesoriamente se guarden los datos anteriores sin relación con su finalidad. Cuando se contengan datos de salud referentes a grados de minusvalía o simple declaración de la condición con motivo del cumplimiento de deberes públicos. El documento de seguridad deberá reflejar el nivel de seguridad que debe cumplir el fichero, siendo así distintas las medidas de seguridad a adoptar en cada uno de ellos.
55 CUADRO RESUMEN MEDIDAS DE SEGURIDAD FICHEROS AUTOMATIZADOS NIVEL BÁSICO NIVEL MEDIO NIVEL ALTO - Ámbito de aplicación. - Medidas, normas, procedimientos reglas y estándares de seguridad. - Funciones y obligaciones del personal. - Estructura y descripción de ficheros y sistemas de información. - Procedimiento de notificación, gestión y respuesta ante incidencias. - Proced. realización copias de respaldo y recuperación de datos. - Identificación del responsable de seguridad. - Control periódico del cumplimiento del documento. - Medidas a adoptar en caso de reutilización o desecho de soportes. - Funciones y obligaciones claramente definidas y documentadas. - Difusión entre el personal, de las normas que les afecten y de las consecuencias por incumplimiento. - Registrar tipo de incidencia, momento en que se ha producido, persona que la notifica, persona a la que se comunica y efectos derivados. - Registrar realización de procedimientos de recuperación de los datos, persona que lo ejecuta, datos restaurados y grabados manualmente. - Autorización por escrito del responsable del fichero para su recuperación. - Relación actualizada de usuarios y accesos autorizados. - Procedimientos de identificación y autenticación. - Criterios de accesos. - Procedimientos de asignación y gestión de contraseñas y periodicidad con que se cambian. - Almacenamiento ininteligible de contraseñas activas. - Se establecerá el mecanismo que permita la identificación de forma inequívoca y personalizada de todo usuario y la verificación de que está autorizado. - Límite de intentos reiterados de acceso no autorizado.
56 - Cada usuario accederá únicamente a los datos y recursos necesarios para el desarrollo de sus funciones. - Mecanismos que eviten el acceso a datos o recursos con derechos distintos de los autorizados. - Concesión de permisos de acceso sólo por personal autorizado. - Control de acceso físico a los locales donde se encuentren ubicados los sistemas de información. - Identificar el tipo de información que contienen. - Inventario. - Almacenamiento con acceso restringido. - Salida de soportes autorizada por el responsable del fichero. - Registro de entrada y salida de soportes. - Medidas para impedir la recuperación posterior de información de un soporte que vaya ha ser desechado o reutilizado. - Medidas que impidan la recuperación indebida de la información almacenada en un soporte que vaya a salir como consecuencia de operaciones de mantenimiento. - Cifrado de datos en la distribución de soportes. - Verificar la definición y aplicación de los procedimientos de copias y recuperación. - Garantizar la reconstrucción de los datos en el estado en que se encontraban en el momento de producirse la pérdida o destrucción. - Copia de respaldo, al menos semanal. - Copia de respaldo y procedimientos de recuperación en lugar diferente del que se encuentren los equipos. - Responsable de Seguridad: uno o varios nombrados por el responsable del fichero. Encargado de coordinar y controlar las medidas del documento. No supone delegación de responsabilidad del responsable del fichero. - Prueba con datos reales: Solo se realizarán si se asegura el nivel de seguridad correspondiente al tipo de fichero tratado.
57 - Auditoría al menos cada dos años, interna o externa. Adecuación de las medidas y controles. Deficiencias y propuestas correctoras. Análisis del responsable de seguridad y conclusiones al responsable del fichero, Adopción de las medidas correctoras adecuadas. - Registrar usuario, hora, fichero, tipo acceso y registro accedido. - Control del responsable de seguridad. Informe mensual. - Conservación 2 años. - Transmisión de datos cifrada. Los niveles son acumulativos y tienen la condición de mínimos exigibles. Los accesos a través de redes de telecomunicaciones deben garantizar un nivel de seguridad equivalente al de los accesos en modo local. La ejecución de trabajos fuera de los locales de la ubicación del fichero debe ser expresamente autorizada por el responsable del fichero y garantizar el nivel de seguridad. Los ficheros temporales deberán cumplir el nivel de seguridad correspondiente y serán borrados una vez que hayan dejado de ser necesarios.
58 CUADRO RESUMEN MEDIDAS DE SEGURIDAD DE FICHEROS NO AUTOMATIZADOS NIVEL BÁSICO NIVEL MEDIO NIVEL ALTO - Ámbito de aplicación. - Medidas, normas, procedimientos reglas y estándares de seguridad. - Funciones y obligaciones del personal. - Estructura y descripción de ficheros y sistemas de información. - Procedimiento de notificación, gestión y respuesta ante incidencias. - Procede realización copias de respaldo y recuperación de datos. - Identificación del responsable de seguridad. - Control periódico del cumplimiento del documento. - Medidas a adoptar en caso de reutilización o desecho de soportes. - Funciones y obligaciones claramente definidas y documentadas. - Registrar tipo de incidencia, momento en que se ha producido, persona que la notifica, persona a la que se comunica y efectos derivados. - Registrar realización de procedimientos de recuperación de los datos, persona que lo ejecuta, datos restaurados y grabados manualmente. - Autorización por escrito del responsable del fichero para su recuperación. - Relación actualizada de usuarios y accesos autorizados. - Procedimientos de identificación y autenticación. - Criterios de accesos. - Procedimientos de asignación y gestión de contraseñas y periodicidad con que se cambian. - Almacenamiento ininteligible de contraseñas activas. - Se establecerá el mecanismo que permita la identificación de forma inequívoca y personalizada de todo usuario y la verificación de que está autorizado. - Límite de intentos reiterados de acceso no autorizado. - Elementos de archivo en aéreas restringidas con acceso protegidos con puerta bajo llave o medidas alternativas.
59 - Cada usuario accederá únicamente a los datos y recursos necesarios para el desarrollo de sus funciones. - Mecanismos que eviten el acceso a datos o recursos con derechos distintos de los autorizados. - Concesión de permisos de acceso sólo por personal autorizado. - Control de acceso físico a los locales donde se encuentren ubicados los sistemas de información. - Acceso restringido - Mecanismos de identificación - Identificar el tipo de información que contienen. - Inventario. - Almacenamiento con acceso restringido. - Salida de soportes autorizada por el responsable del fichero. - Mecanismos que obstaculicen la apertura o medidas que impidan el acceso - Registro de entrada y salida de soportes. - Medidas para impedir la recuperación posterior de información de un soporte que vaya a ser desechado o reutilizado. - Medidas que impidan la recuperación indebida de la información almacenada en un soporte que vaya a salir como consecuencia de operaciones de mantenimiento. - Cifrado de datos en la distribución de soportes. - Verificar la definición y aplicación de los procedimientos de copias y recuperación. - Garantizar la reconstrucción de los datos en el estado en que se encontraban en el momento de producirse la pérdida o destrucción. - Copia de respaldo, al menos semanal. - Copia de respaldo y procedimientos de recuperación en lugar diferente del que se encuentren los equipos. - Copias con autorización - Destrucción de lo desechado - Responsable de Seguridad: Uno o varios nombrados por el responsable del fichero. Encargado de coordinar y controlar las medidas del documento. No supone delegación de responsabilidad del responsable del fichero.
60 - Solo se realizarán si se asegura el nivel de seguridad correspondiente al tipo de fichero tratado. - Al menos cada dos años, interna o externa. - Adecuación de las medidas y controles. - Deficiencias y propuestas correctoras. - Análisis del responsable de seguridad y conclusiones al responsable del fichero, - Adopción de las medidas correctoras adecuadas. - Registrar usuario, hora, fichero, tipo acceso y registro accedido. - Control del responsable de seguridad. Informe mensual. - Conservación 2 años. - Transmisión de datos cifrada. Los niveles son acumulativos y tienen la condición de mínimos exigibles. Los accesos a través de redes de telecomunicaciones deben garantizar un nivel de seguridad equivalente al de los accesos en modo local. La ejecución de trabajos fuera de los locales debe ser expresamente autorizada por el responsable del fichero y garantizar el nivel de seguridad. Los ficheros temporales deberán cumplir el nivel de seguridad correspondiente y serán borrados una vez que hayan dejado de ser necesarios. Los ficheros de nivel básico que contengan datos que permitan obtener una evaluación de la personalidad del individuo deberán garantizar, además de las medidas de nivel básico, las de nivel medio relativas a auditoria, identificación y autenticación, control de acceso físico y gestión de soportes.
61 5. DERECHOS DE LAS PERSONAS Junto al cumplimiento de las obligaciones que la Ley impone a los que participan en el tratamiento de datos personales, están los derechos que asisten al ciudadano en este mismo proceso de tratamiento de sus datos. Es importante que los derechos sean conocidos por el ciudadano, pero casi aún más importante es que sean conocidos por aquellos que participan en el tratamiento, y una parte muy estimable de esa participación la conforman los usuarios. El órgano competente en el Ayuntamiento que sea titular del fichero o del tratamiento no cumple solamente con tratar los datos de carácter personal respetando todos los principios recogidos en la norma sino que es necesario que permita y facilite el ejercicio d e los derechos por el interesado. Antes de abordar la exposición individualizada de los derechos, es necesario hacer una distinción de ellos en dos grupos: Los derechos que forman parte esencial del contenido del derecho fundamental a la protección de datos, que son: 1. Derecho de acceso, 2. Derecho de oposición, 3. Derecho de rectificación y cancelación. Los otros derechos reconocidos por la Ley Orgánica 15/1999: 4. Derecho de impugnación de valoraciones, 5. Derecho a la consulta al Registro General de Protección de Datos, y 6. Derecho a indemnización.
62 5.1. El derecho de ACCESO Es el derecho a conocer si sobre sus propios datos de carácter personal están siendo objeto de tratamiento, cuál ha sido el origen de éstos, f i n a l i da d y qué cesiones se han realizado o se prevén realizar. Para el ejercicio de este derecho, el ciudadano se dirigirá directamente al responsable del fichero mediante solicitud, por cualquier medio que garantice la identificación del afectado, haciendo constar el fichero o ficheros que se quieren consultar. Al tratarse de un derecho personalísimo, sólo podrá ser ejercitado por el propio interesado, excepto en el caso de menores o incapacitados, en que la solicitud la presentará el correspondiente representante legal. El responsable del fichero deberá responder en el plazo máximo de un mes, contestando a los extremos solicitados, y facilitando la información en la forma elegida por el afectado, ya sea por medio de visualización en pantalla, mediante escrito, copia, fotocopia, certificada o no, o por cualquier otro procedimiento adecuado, en forma legible e inteligible, sin utilizar claves o códigos que requieran el uso de dispositivos mecánicos específicos. Este derecho sólo podrá ser ejercitado a intervalos no inferiores a 12 meses, salvo que el interesado acredite un interés legítimo al efecto, en cuyo caso podrá ejercitarlo antes. Existe obligación de contestar aunque no existan datos de la persona por el responsable del fichero, en el plazo de un mes desde la solicitud, transcurrido el cual, sin respuesta, se entenderá denegado el acceso pudiendo interponer a la reclamación prevista en la LOPD. Si la resolución fuese estimatoria el acceso se hará efectivo en los diez días siguientes a la notificación. Sólo podrá denegarse el ejercicio de este derecho en los siguientes casos: a. En ficheros de Fuerzas y Cuerpos de Seguridad en función de los peligros que pudieran derivarse para la defensa del Estado o la seguridad pública, la protección de los derechos y libertades de terceros o las necesidades de las investigaciones que se estén realizando.
63 b. En ficheros de la Hacienda Pública cuando obstaculice las actuaciones administrativas tendentes a asegurar el cumplimiento de las obligaciones tributarias y, en todo caso, cuando estén siendo objeto de actuaciones inspectoras. Por último, en cuanto al ejercicio de este derecho en algunos supuestos específicos, habrá que estar a lo que establezca la legislación especial existente, como sería el caso de la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica, que regula alguna característica especial para el acceso a los archivos de documentación clínica por parte de los pacientes, o la Ley 30/1992, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, que regula el acceso a los expedientes administrativos El derecho de OPOSICIÓN Este derecho no ha tenido su desarrollo hasta el RD 1720/07 de Reglamento de Desarrollo de la LOPD, así en su art. 34 se señala que es el derecho del afectado a que no se lleve a cabo el tratamiento de los datos cuando no resulte necesario el consentimiento y siempre que una Ley no disponga lo contrario, éste podrá oponerse al tratamiento de sus datos o al cese cuando:. Existan motivos fundados y legítimos relativos a una concreta situación personal. Ficheros que tengan por finalidad la actividad de publicidad y prospección comercial. El tratamiento tenga por finalidad adoptar una decisión referida al afectado que se base en un tratamiento automatizado de sus datos destinado a evaluar aspectos de su personalidad. Es obvio que para que el ejercicio de este derecho sea efectivo es necesario haber cumplido previamente con el principio de información.
64 5.3. El derecho de RECTIFICACIÓN Y CANCELACIÓN Cuando el afectado tuviera constancia de que sus datos son inexactos o incompletos podrá solicitar del responsable del fichero la rectificación de los mismos. La cancelación dará lugar al bloqueo de los datos cuando estos hayan dejado de ser necesarios o pertinentes, que no tiene que consistir necesariamente en el borrado físico de de la información. Dichos datos deberán conservarse a disposición de las Administraciones públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento durante el plazo de prescripción de éstas. Cumplido el citado plazo, deberá procederse a la supresión. Este derecho se ejercita ante el responsable del fichero por el titular de los datos o afectado, es un derecho personalísimo que no puede ejercitarse por persona distinta de su titular, a excepción de menores e incapacitados. El derecho de rectificación se ejerce mediante solicitud dirigida al responsable del fichero indicando el dato al que se refiere y la corrección a realizar junto a la documentación justificativa; en la cancelación se sigue el mismo procedimiento a excepción de la corrección que no existe. El responsable deberá atender a la petición, previa comprobación de los documentos justificativos de la misma presentados por el interesado, en el plazo de diez días. También el responsable podrá modificar por propia iniciativa los datos que resulten inexactos o incompletos. El silencio se considerará negativo a efectos de interponer las reclamaciones correspondientes. Sólo podrá denegarse el ejercicio de este derecho en los siguientes casos: 1. En ficheros de Fuerzas y Cuerpos de Seguridad en función de los peligros que pudieran derivarse para la defensa del Estado o la seguridad pública, la protección de los derechos y libertades de terceros o las necesidades de las investigaciones que se estén realizando.
65 2. En ficheros de la Hacienda Pública cuando obstaculice las actuaciones administrativas tendentes a asegurar el cumplimiento de las obligaciones tributarias y, en todo caso, cuando estén siendo objeto de actuaciones inspectoras Derecho a indemnización El afectado o interesado tendrá derecho a solicitar una indemnización económica cuando, a consecuencia del incumplimiento por el responsable de fichero de lo dispuesto en la Ley Orgánica 15/1999 sufra daño o lesión en sus bienes o derechos. La indemnización se exigirá de acuerdo a la legislación reguladora del régimen de responsabilidad de las Administraciones Públicas cuando la lesión provenga de organismos públicos. Cuando la lesión provenga de entidades privadas se solicitará ante la jurisdicción ordinaria Derecho de consulta al Registro General de Protección de Datos El derecho de consulta a los registros de ficheros que existen en la Agencia de Protección de Datos Española (o de las Comunidades Autónomas en que existen) es el derecho de los interesados o afectados a recabar información d e f o r ma g r a t u i t a sobre la existencia de ficheros de datos de carácter personal inscritos en los referidos Registros, la finalidad de éstos y la identidad del responsable del fichero. Esta información se puede solicitar ante la Agencia de Protección de Datos correspondiente, si bien se señala que los Registros de las Agencias Autonómicas son complementarios del Registro General de Protección de Datos de la Agencia Española de Protección de Datos que es el que, de conformidad con la LOPD, da publicidad de los ficheros inscritos. La información existente en el Registro se refiere a determinadas características de los ficheros, tales como, identificación, quién es el responsable del mismo, dónde se ubican, el tipo de datos que tratan, y los colectivos de los que se recabaron los datos, entre otras.
66 La solicitud del afectado no puede expresarse de forma genérica, es decir, no se puede solicitar la identificación de todos los ficheros donde se esté tratando nuestro nombre, apellidos, fecha de nacimiento,...etc. Los Registros antes mencionados no recogen el contenido de los ficheros, sino las características de los mismos. Derecho de acceso Derecho de rectificación y cancelación Derecho de oposición Características de los derechos Ejercicio Facultad del interesado para: solicitar y obtener información sobre: sus datos, origen y comunicaciones realizadas o previstas de forma gratuita ejercicio en intervalos de 12 meses salvo acreditación de interés Facultad del interesado para: instar al responsable a: 1. rectificar o cancelar 2. los datos inexactos o incompletos plazo de 10 días Facultad del interesado para: oponerse al tratamiento cuando no sea necesario su consentimiento para el tratamiento existan motivos fundados y legítimos para ello y una Ley no disponga lo contrario Derechos Personalísimos cabe representación legal para incapaces, menores o imposibilitados para el ejercicio personal de los mismo ejercicio ante el Responsable del fichero mediante solicitud dirigida al mismo con el contenido legalmente determinado son derechos independientes
67 EJERCICIO PRÁCTICO AVANZADO Nº 8 EJERCICIO DE DERECHOS Un cliente de una compañía telefónica remite una carta a la misma solicitando que no se le envíen más sms de publicidad a pesar de tener contratado con la compañía el servicio de telefonía móvil. Se puede oponer el usuario al envío de esta publicidad o como dio su consentimiento y tiene un contrato no podría oponerse a la publicidad a menos que se diera de baja en todos los servicios?
68 6. ÓRGANOS DE CONTROL Vistos los principios que deben regir el tratamiento de datos personales y los derechos que amparan a las personas para hacer efectivo su derecho fundamental a la protección de datos, es necesario ver ahora las garantías que la legislación prevé para asegurar la aplicación de los principios y el ejercicio de los derechos. Las Agencias de Protección de Datos se constituyen en este punto en el garante de la aplicación de lo dispuesto en la Ley Orgánica 15/1999, o Ley Autonómica correspondiente, respecto del ámbito de aplicación determinado por la misma. Tanto la Agencia Española de Protección de Datos, como las autonómicas, cada una en su ámbito competencial (en el caso de las segundas, se circunscribe a los ficheros de datos de carácter personal creados o gestionados por las Administraciones Públicas de su ámbito territorial, mientras que todos los tratamientos de datos realizados por entidades privadas son siempre responsabilidad de la primera), tienen como función el control de la aplicación de la Legislación sobre protección de datos y la defensa de los derechos de los ciudadanos para el efectivo cumplimiento del derecho fundamental a la protección de datos personales. Entre las funciones de las Agencias de Protección de Datos es de destacar la atención de peticiones y reclamaciones de los ciudadanos, la información sobre sus derechos, y el ejercicio de la potestad inspectora y sancionadora. Las Agencias de Protección de Datos tienen competencias para inspeccionar de oficio, o a instancia de parte, los ficheros de datos personales de lo que genéricamente hemos denominado Administración pública. El objeto de las inspecciones es comprobar el cumplimiento de los principios de protección de datos en el desarrollo del tratamiento de los datos personales, y el respeto a los derechos de los ciudadanos. En caso de detectar una posible comisión de infracción a la normativa de protección de datos, se podrá abrir el correspondiente procedimiento, para determinar la existencia o no de la infracción y el responsable o responsables de la misma. Los procedimientos abiertos contra responsables de ficheros de titularidad pública podrán finalizar con la declaración de la existencia o no de la infracción, pudiendo proponer en que se inicie expediente disciplinario a la persona que ha resultado responsable de la infracción cometida.
69 Aparte de las funciones de control que competen a las Agencias de Protección de Datos, éstas pueden ejercer también una labor consultora, fundamental para procurar el efectivo cumplimiento de la normativa sobre protección de datos. En este sentido, la labor de información y asesoramiento se lleva a cabo tanto de forma individual, asesorando sobre el procedimiento de inscripción de ficheros y resolviendo las consultas puntuales planteadas por los responsables de los respectivos ficheros, como de forma colectiva, a través de la celebración de jornadas informativas organizadas por sectores de actividad, a fin de tratar en profundidad las cuestiones particulares que pueden plantearse en los distintos ámbitos de la actuación de la Administración.
70 7. PROCEDIMIENTOS TRAMITADOS POR LA AGENCIA 7.1. TUTELA DE DERECHOS La Agencia Española de Protección de Datos y, en lo que san competentes las Agencias autonómicas de Protección de Datos, tienen potestad para iniciar procedimientos de tutela de derechos y sancionadores. El procedimiento de tutela de derechos tiene por objeto determinar si la actuación de un responsable del tratamiento no atendiendo el ejercicio de derecho ha sido, o no, correcta FASES DEL HABEAS DATA. Instrucción: Escrito de Reclamación por el afectado presentado ante la Agencia de Protección de Datos de la Comunidad de Madrid, expresando qué es lo que se reclama y los preceptos de la LOPD vulnerados. Traslado por 15 días al responsable para que formule alegaciones. Resolución de la Agencia. 6 meses máximo tras instrucción, audiencia, etc., el silencio de la Agencia se considerará silencio administrativo positivo. Ejecución: 10 días para hacer efectivo el ejercicio de los derechos reconocidos debiendo dar traslado a la agencia del cumplimiento en el mismo plazo. Recurso: La resolución es objeto de recurso contencioso-administrativo ante la Audiencia Nacional PROCEDIMIENTO SANCIONADOR Se inicia de oficio por acuerdo del Director de la Agencia de Madrid, bien por: denuncia del afectado o tercero o por otros motivos o actos como puede ser la actividad inspectora, que deberá contener: a. Identificación presuntamente responsable. b. Descripción sucinta de los hechos, posible calificación y sanciones c. Órgano competente para resolver d. Designación Instructor e. Indicación de derechos del responsable f. Medidas provisionales
71 Con carácter previo a la iniciación se podrán realizar actuaciones previas con objeto de determinar si concurren circunstancias que justifiquen la iniciación. Tendrán una duración máxima de 12 meses transcurridos los cuales sin haberse dictado y notificado inicio de procedimiento producirá la caducidad de las actuaciones previas. En el caso de infracciones cometidas por las Administraciones Públicas se dictará resolución estableciendo las medidas que procede adoptar para que cesen o se corrijan los efectos de la infracción. Esta resolución se notificará al responsable del fichero, al órgano del que dependan jerárquicamente y a los afectados si los hubiera. INFRACCIONES 1. Son infracciones leves: sanciones entre 900 y No remitir a la Agencia Española de Protección de Datos las notificaciones previstas en esta Ley o en sus disposiciones de desarrollo. No solicitar la inscripción del fichero en el Registro General de Protección de Datos Recopilar datos personales sin informar previamente No atender a las solicitudes de rectificación o cancelación Transmitir datos a un encargado de tratamiento sin cumplir las obligaciones formales. 2. Son infracciones graves: sanciones entre y No inscribir los ficheros en la AEPD. Utilizar los ficheros con finalidad distinta con la se crearon. No tener el consentimiento del interesado para recabar sus datos personales. No permitir el acceso a los ficheros. Mantener datos inexactos o no efectuar las modificaciones solicitadas. No seguir los principios y garantías de la LOPD. Tratar datos especialmente protegidos sin la autorización del afectado No remitir a la AGPD las notificaciones previstas en la LOPD. Mantener los ficheros sin las debidas condiciones de seguridad. 3. Son infracciones muy graves: sanciones entre y Crear ficheros para almacenar datos especialmente protegidos. Recogida de datos con engañoso o fraudulentamente. Recabar datos especialmente protegidos sin la autorización del afectado. No atender u obstaculizar de forma sistemática las solicitudes de cancelación o rectificación. Vulnerar el secreto sobre datos especialmente protegidos. La comunicación o cesión de datos cuando ésta no esté permitida.
72 No cesar en el uso ilegítimo a petición de la AEPD. Tratar los datos de forma ilegítima o con menosprecio de principios y garantías que le sean de aplicación. No atender de forma sistemática los requerimientos de la AEPD. La transferencia temporal o definitiva de datos de carácter. personal con destino a países sin nivel de protección equiparable o sin autorización.
73 8. VIDEOVIGILANCIA La Instrucción 1/ 2006, de 8 de noviembre de 2006, de la Agencia Española de Protección de Datos regula la captación y el tratamiento de imágenes mediante videovigilancia: Las imágenes se consideran por LOPD como un dato de carácter personal. La Instrucción se aplica al tratamiento de datos personales de imágenes de personas físicas identificadas o identificables, con fines de vigilancia a través de sistemas de cámaras y videocámaras. Se deberán colocar, en las zonas videovigiladas, al menos un distintivo informativo ubicado en lugar suficientemente visible. En el primer hueco se colocaría el nombre del Responsable del Fichero y en el segundo apartado la dirección a efecto de notificaciones para el ejercicio de los derechos ARCO.
74 El objeto de la Instrucción comprende la grabación, captación, transmisión, conservación, y almacenamiento de imágenes, incluida su reproducción o emisión en tiempo real, así como el tratamiento que resulte de los datos personales relacionados con ellas. Por el contrario, se excluyen de la Instrucción los datos personales grabados para uso doméstica y el tratamiento de imágenes por parte de las Fuerzas y Cuerpos de Seguridad, que está regulado por la Ley Orgánica 4/97, de 4 de agosto.
75 Los responsables que cuenten con sistemas de videovigilancia deberán cumplir con el deber de información previsto en la LOPD. A tal fin deberán colocar, en las zonas videovigiladas, al menos un distintivo informativo ubicado en lugar suficientemente visible, tanto en espacios abiertos como cerrados. Según se establece en la Instrucción el contenido y el diseño del distintivo informativo deberá de incluir una referencia a la LEY ORGANICA 15/1999, DE PROTECCIÓN DE DATOS, incluirá una mención a la finalidad para la que se tratan los datos ( ZONA VIDEOVIGILADA ), y una mención expresa a la identificación del responsable ante quien puedan ejercitarse los derechos de las personas en materia de Protección de Datos. La AGPD, hasta la entrada en vigor de la Ley 25/2009, venía estableciendo, en concordancia con lo dispuesto en el artículo 6.1 y 6.2 de la Ley 15/1999, de Protección de Datos de carácter personal que: El mencionado artículo 6 debe de conectarse con lo dispuesto en la Ley 23/1992, de 30 de julio, de Seguridad Privada (en adelante LSP), que establece en su artículo 1.1: Esta Ley tiene por objeto la prestación por personas, físicas o jurídicas privadas, de servicios de vigilancia y seguridad de personas o de bienes, que tendrán la consideración de actividades complementarias y subordinadas respecto a las de seguridad pública. Asimismo, el artículo 1.2 añade que: A los efectos de esta Ley, únicamente pueden realizar actividades de seguridad privada y prestar servicios de esta naturaleza las empresas de seguridad y el personal de seguridad privada, que estará integrado por los vigilantes de seguridad, los vigilantes de explosivos, los jefes de seguridad, los directores de seguridad, los escoltas privados, los guardas particulares del campo, los guardas de caza, los guardapescas marítimos y los detectives privados. El artículo 5.1 e) de la LSP dispone que: Con sujeción a lo dispuesto en la presente Ley y en las normas reglamentarias que la desarrollan, las empresas de seguridad únicamente podrán prestar o desarrollar los siguientes servicios y actividades ( ) Instalación y mantenimiento de aparatos, dispositivos y sistemas
76 de seguridad. Esta previsión se reitera en el artículo 1 del Reglamento de Seguridad Privada, aprobado por Real Decreto 2364/1994, de 9 de diciembre. De este modo, la Ley habilitaría que los sujetos previstos en su ámbito de aplicación puedan instalar dispositivos de seguridad, entre los que podrían encontrarse las cámaras, siempre con la finalidad descrita en el citado artículo 1.1. En consecuencia, cuando se hayan cumplido los requisitos formales establecidos (inscripción en el Registro de la empresa y comunicación del contrato al Ministerios del Interior), las empresas de seguridad homologadas y habilitadas por la autoridad competente podrán instalar dispositivos de seguridad, con fines de videovigilancia. En conclusión, hasta la entrada en vigor de la Ley 25/2009, de 22 de diciembre era necesario que quien quisiera instalar dichas cámaras, cumplieran con todos los requisitos antes expuestos. La Ley 25/2009 de 22 de diciembre (LEY OMNIBUS) en su Disposición Adicional Sexta que: ha establecido Los prestadores de servicios o las filiales de las empresas de seguridad privada que vendan, entreguen, instalen o mantengan equipos técnicos de seguridad, siempre que no incluyan la prestación de servicios de conexión con centrales de alarma, quedan excluidos de la legislación de seguridad privada siempre y cuando no se dediquen a ninguno de los otros fines definidos en el artículo 5, sin perjuicio de otras legislaciones específicas que pudieran resultarles de aplicación. Esto quiere decir que desde el 27 de diciembre de 2009 es posible la instalación de cámaras de vigilancia que no estén conectadas a centrales de alarma sin sujeción a la legislación sobre seguridad privada, es decir, sin que se aplique la LSP. Esta es una modificación legislativa para adaptar nuestra legislación en esta materia a lo estipulado por la Directiva 2006/123/CE. Con esta disposición nos encontramos con numerosas cámaras de vigilancia que están funcionando y captando nuestra imagen sin cobertura legal y sin nuestro consentimiento
77 La Agencia Española de protección de datos en su Informe Jurídico 0650/2009, ha venido a aclarar que dado que la ley 25/2009 permite la instalación y mantenimiento de dichos equipos por empresas distintas a las de seguridad privada, legitima a quienes adquieran estos dispositivos para tratar los datos personales derivados de la captación de las imágenes sin necesidad de acudir a empresas de seguridad privada, siendo dicho tratamiento conforme a lo previsto en la Ley Orgánica de Protección de Datos de Carácter Personal. Es decir que la Ley 25/2009 eximiría del pedir el consentimiento previo. No obstante, la instalación de un sistema de videovigilancia conectado a una central de alarma, sí seguirá requiriendo la concurrencia de los requisitos exigidos hasta ahora, es decir en estos casos la Ley 23/1992 sería la que eximiría de obtener dicho consentimiento. En todo caso, el tratamiento de las imágenes deberá cumplir los restantes requisitos exigibles en materia de protección de datos de Carácter Personal, recogidos en la Ley Orgánica y, en particular, en la instrucción 1/2006 de la Agencia Española de Protección de Datos, como son, entre otros, los relativos a que las imágenes que se capten sean las necesarias y no excesivas para la finalidad perseguida; el deber de informar a los interesados, tanto a través de la colocación de carteles informativos como mediante la puesta a disposición de aquéllos de impresos en que se detalle la información; la notificación de la existencia de los ficheros a la Agencia Española de Protección de Datos; o la implantación de medidas de seguridad. Sólo se considerará admisible la instalación de cámaras o videocámaras cuando la finalidad de vigilancia no pueda obtenerse mediante otros medios que, sin exigir esfuerzos desproporcionados, resulten menos intrusivos para la intimidad de las personas y para su derecho a la protección de datos de carácter personal. Las cámaras y videocámaras instaladas en espacios privados no podrán obtener imágenes de espacios públicos salvo que resulte imprescindible para la finalidad de vigilancia que se pretende, o resulte imposible evitarlo por razón de la ubicación de aquéllas. En todo caso deberá evitarse cualquier tratamiento de datos innecesario para la finalidad perseguida. Las imágenes sólo serán tratadas cuando sean adecuadas, pertinentes y no excesivas en relación con el ámbito y las finalidades determinadas, legítimas y
78 explícitas, que hayan justificado la instalación de las cámaras o videocámaras. La creación de un fichero de imágenes de videovigilancia exige su previa notificación a la Agencia Española de Protección de Datos, para la inscripción en su Registro General.
79 EJERCICIO PRÁCTICO AVANZADO Nº 9 VIDEOVIGILANCIA Tras una llamada telefónica a la policía por los ruidos producidos en un bar de copas la policía se persona en el establecimiento y dentro de su inspección observa que hay cámaras de videovigilancia en el establecimiento sin conexión a empresa de seguridad, concretamente una enfocando únicamente a la entrada, sin identificación de los transeúntes que pasan por el exterior, y otra dirigida a la caja registradora. El local cuenta con carteles informativos y con cláusula informativa disponible para los clientes. Las cámaras han sido instaladas por el propio dueño del establecimiento sin embargo los agentes levantan Acta, con envío a la Agencia Española para que inicie Procedimiento Sancionador, por no haber sido instaladas las cámaras por una empresa homologada. Le podrá multar la Agencia o ganará el Procedimiento sancionador?
80 9. SOLVENCIA PATRIMONIAL El artículo 38.1 del Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal, aprobado por Real decreto 1720/2007, de 21 de diciembre en su apartado a) que sólo será posible la inclusión en estos ficheros de datos de carácter personal que sean determinantes para enjuiciar la solvencia económica del afectado, siempre que concurran los siguientes requisitos ( ) existencia previa de una deuda cierta, vencida, exigible, que haya resultado impagada y respecto de la cual no se haya entablado reclamación judicial, arbitral o administrativa, o tratándose de servicios financieros, no se haya planteado una reclamación en los términos previstos en el Reglamento de los Comisionados para la defensa del cliente de servicios financieros, aprobado por Real Decreto 303/2004, de 20 de febrero. El artículo 29 de la Ley Orgánica 15/1999 regula este tipo de ficheros, disponiendo en los sus primeros apartados lo siguiente: 1. Quienes se dediquen a la prestación de servicios de información sobre la solvencia patrimonial y el crédito sólo podrán tratar datos de carácter personal obtenidos de los registros y las fuentes accesibles al público establecidos al efecto o procedentes de informaciones facilitadas por el interesado o con su consentimiento. 2. Podrán tratarse también datos de carácter personal relativos al cumplimiento o incumplimiento de obligaciones dinerarias facilitados por el creedor o por quien actúe por su cuenta o interés. En estos casos se notificará a los interesados respecto de los que hayan registrado datos de carácter personal en ficheros, en el plazo de treinta días desde dicho registro, una referencia de los que hubiesen sido incluidos y se les informará de su derecho a recabar información de la totalidad de ellos, en los términos establecidos por la presente Ley. El Reglamento diferencia claramente dos tipos de ficheros quedando los regulados por el artículo 29.1 de la Ley Orgánica 15/1999 sometidos al régimen general establecido en las normas de protección de datos y siendo de aplicación las especialidades de la Sección Segunda del Capítulo I del Título IV del reglamento únicamente a los ficheros regulados por el artículo 29.2 de la Ley Orgánica.
81 10. TRANSFERENCIA INTERNACIONAL DE DATOS La transferencia internacional de datos, es un tratamiento de datos que supone una transmisión de los mismos fuera del territorio del Espacio Económico Europeo, que puede constituir una cesión o comunicación de datos o tener por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero establecido en territorio español. Las transferencias internacionales de datos, se regulan en los artículos 33 y 34 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LOPD) y en el Título VI del Reglamento de desarrollo de la Ley Orgánica de Protección de Datos de Carácter Personal, aprobado por el Real Decreto 1720/2007, de 21 de diciembre. El exportador de datos es la persona física o jurídica, pública o privada, u órgano administrativo situado en territorio español que realiza una transferencia de datos de carácter personal a un país tercero. El importador de datos es la persona física o jurídica, pública o privada, u órgano administrativo receptor de los datos, en caso de transferencia internacional de los mismos a un tercer país, ya sea responsable del tratamiento, encargado del tratamiento o tercero. Las comunicaciones de datos en el EEE constituyen cesiones de datos a efectos de la aplicación de la LOPD. Una transferencia internacional de datos no excluye en ningún caso la aplicación de las disposiciones contenidas en la LOPD y en el RLOPD. Para que la transferencia internacional de datos pueda considerarse conforme a lo dispuesto en las citadas normas, será necesario: Autorización del Director de la Agencia Española de Protección de Datos, salvo: Que los datos se transfieran a un país que ofrezca un nivel adecuado de protección. Que se trate de supuestos legalmente excepcionados de la autorización del Director.
82 El artículo 34 de la LOPD y 66.2 del RLOPD establecen los supuestos en los que no será necesaria la autorización previa del Director de la Agencia Española de Protección de Datos: Cuando la transferencia internacional de datos de carácter personal resulte de la aplicación de tratados o convenios en los que sea parte España. Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial internacional Cuando la transferencia sea necesaria para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamiento médicos o la gestión de servicios sanitarios. Cuando se refiera a transferencias dinerarias conforme a su legislación específica. Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista. Cuando la transferencia sea necesaria para la ejecución de un contrato entre el afectado y el responsable del fichero o para la adopción de medidas recontractuales adoptadas a petición del afectado. Cuando la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar, en interés del afectado, por el responsable del fichero y un tercero. Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público. Tendrá esta consideración la transferencia solicitada por una Administración fiscal o aduanera para el cumplimiento de sus competencias. Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial. Cuando la transferencia se efectúe, a petición de persona con interés legítimo, desde un Registro público y aquélla sea acorde con la finalidad del mismo. En aquéllos supuestos en los que sea necesaria la autorización del Director de la Agencia Española de Protección de Datos para transmisiones de datos fuera del territorio del Espacio Económico Europeo, la autorización podrá ser otorgada en caso de que el exportador aporte las garantías de respeto a la protección de la vida privada de los afectados y a sus derechos y libertades fundamentales y se garantice el ejercicio de sus respectivos derechos.
83 También se podrán autorizar transferencias internacionales de datos entre sociedades de un mismo grupo multinacional de empresas, cuando hubieran sido adoptadas normas o reglas internas vinculantes para las empresas del Grupo y exigibles conforme al ordenamiento jurídico español. Los artículos 70.4 y el Título IX, Capítulo V del RLOPD establecen el régimen jurídico aplicable a las transferencias internacionales en el seno de una multinacional. En cuanto al régimen sancionador constituye una falta muy grave, de acuerdo con lo dispuesto en el artículo 44.4.e) de la LOPD, " La transferencia temporal o definitiva de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento, con destino a países que no proporcionen un nivel de protección equiparable sin autorización del Director de la Agencia Española de Protección de Datos".
84 EJERCICIO PRÁCTICO AVANZADO Nº 10 TRANSFERENCIA INTERNACIONAL Una empresa situada en París tiene una oficina en Madrid, la cual únicamente recoge y tramita documentación administrativa de la sociedad que remite nuevamente a las oficinas de Roma. Debería comunicarse dicha transmisión de datos al Director de la Agencia? Está considerada como Transferencia Internacional de Datos o es Cesión?
85 PLAN DE ADECUACIÓN EMPRESARIAL A LA LOPD 1. INTRODUCCIÓN Para realizar correctamente un Plan de Adecuación a la LOPD se debería: a) Formar a un equipo de trabajo interno, debidamente cualificado. b) Organizar las funciones que cada miembro debe realizar. c) Comprobar el grado de cumplimiento de la normativa por nuestra entidad. d) Tener clara la estructura organizacional de la entidad: - Departamentos de la empresa - Sector de la actividad - Estructura informática - Tipo de relación con los clientes, proveedores, distribuidores, colaboradores y empleados. - Flujos de información con terceros (cesiones, prestaciones de servicio con acceso a datos) - Flujos de información interna en función de la estructura organizacional de la empresa. Ya que los datos personales son el principal objeto del Plan de Adecuación, para comenzar a localizar la información correspondiente debemos estudiar los aspectos que se citan a continuación: - Procedencia de los Datos - Tratamiento al que se someten dichos datos - Comunicación de datos a terceros (cesiones, encargados del tratamiento) - Medidas de seguridad a adoptar en función del nivel de seguridad aplicable - Cumplimiento del deber de información a los interesados - Obtención del consentimiento en todos aquellos supuestos establecidos en la LOPD y en el RD 1720/2007 tanto para el tratamiento como para la cesión de datos de carácter personal. Es necesario revisar toda la documentación que esté relacionada con la protección de datos, o que contengan datos de carácter personal, de modo que comprobemos el grado de adecuación de nuestra empresa a la LOPD. Debemos asegurarnos de que toda la
86 información que se detecte en la entidad, relacionada con el tratamiento de datos personales sea identificada, valorada y analizada. Las personas encargadas de su desarrollo y aplicación deberán organizarse tanto para identificar como para clasificar la documentación que sea necesaria para lograr los objetivos de auditoría previstos: - Contratos con empleados, clientes, colaboradores, distribuidores, proveedores, trabajadores autónomos o procedentes de una ETT, con el Encargado del Tratamiento de Datos de Carácter Personal - Cláusulas de información y consentimiento - Políticas de Privacidad - Aviso Legal - Notificaciones ya realizadas al RGPD - Sistemas - Procedimientos de Seguridad - Comprobar la existencia de un Documento de Seguridad - Informes de Auditoría Una vez recopilada toda la información, se tendrán en cuenta sólo aquellos documentos que incidan en la protección de datos, o que contenga datos de carácter personal. El siguiente paso sería clasificar toda la documentación obtenida tras el análisis con el propósito de facilitar la identificación de los ficheros que deberán notificarse para su inscripción en la AEPD. Finalmente debemos tener presente el nivel de seguridad de los ficheros, para poner en funcionamiento las medidas de seguridad que corresponda, los procedimientos que se deban llevar a cabo y todos los aspectos concretos del tratamiento.
87 2. IDENTIFICACIÓN DE FICHEROS 2.1 CREACIÓN, MODIFICACIÓN Y SUPRESIÓN DE FICHEROS El artículo 25 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, establece que podrán crearse ficheros de titularidad privada que contengan datos de carácter personal cuando resulte necesario para el logro de la actividad u objeto legítimos de la persona, empresa o entidad titular y se respeten las garantías que esta Ley establece para la protección de las personas. Toda persona o entidad que proceda a la creación de ficheros de datos de carácter personal lo notificará previamente a la Agencia de Protección de Datos (artículo 26.1 LOPD). 2.2 FICHEROS AUTOMATIZADOS Podemos considerar como ficheros automatizados, aquellos cuyo soporte físico no permite su lectura, o escritura directa, sino que se requiere la utilización de un ordenador o dispositivo electrónico intermediario que permita la extracción/introducción, y posterior lectura/escritura de los mismos, a través de un periférico como monitor, impresora, teclado, etc. Dentro de este grupo, se encuentran los ficheros incluidos en una base de datos contenida en el disco duro de un ordenador, los ficheros contenidos e un CD, DVD, etc. Los ficheros automatizados, son ficheros de datos que se han creado utilizando un soporte informático. Podemos distinguir dos tipos: - Los creados utilizando una herramienta informática determinada para el almacenamiento de datos personales como, por ejemplo, una base de datos. - Los creados utilizando cualquier soporte que contenga los datos personales, de un modo organizado permitiendo el acceso, o localización de los clientes como, por ejemplo, una hoja de cálculo. Una vez que tengamos claro que contamos con un fichero de datos automatizado, debemos notificarlo para su inscripción en el RGPD. Asimismo, tendremos que implantar las medidas de seguridad pertinentes en los sistemas, equipos y locales donde se realice el tratamiento de datos.
88 Las medidas de seguridad aplicables a los ficheros automatizados serán las siguientes: a) NIVEL BÁSICO: - Descripción del Sistema Informático de acceso al fichero El Responsable del fichero debe establecer un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado. El mecanismo de autenticación está basado en un sistema de contraseñas, esto debe comprender un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad. La periodicidad para cambiar las contraseñas en ningún caso debe ser superior a un año. La empresa debe almacenarlas de forma ininteligible para el resto de la gente. - Personal Autorizado para Acceder al Fichero El Responsable del fichero debe elaborar una relación actualizada de los usuarios y perfiles de los usuarios donde se detalle; Nombre y apellido, DNI y Cargo que ocupa en la empresa, así como de los accesos autorizados para cada uno de ellos. - Procedimientos de Control de Acceso Debe implantarse un control de acceso que permita a los usuarios tener acceso, únicamente, a aquellos recursos que precisen para el desarrollo de sus funciones. Es función del Responsable del fichero establecer mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados. Únicamente, las personas que hayan sido designadas en este documento de seguridad podrán conceder, alterar o anular el acceso autorizado a los usuarios sobre los recursos de la empresa relativos a los datos de carácter personal, conforme a los criterios establecidos por el Responsable del fichero.
89 En caso de que exista personal ajeno a la empresa, que pueda tener acceso a los datos de carácter personal gestionados por ésta misma, debe estar sometido a las mismas condiciones y obligaciones de seguridad que el resto del personal de la empresa. - Copias de Respaldo y Recuperación La empresa debe llevar a cabo las copias de respaldo, semanalmente, con la única excepción que se hayan producido modificaciones, salvo que en dicho periodo no se hubiera producido una actualización de los datos. El Responsable del Fichero se encargará de verificar cada seis meses la correcta definición, funcionabilidad y aplicación de los procedimientos de realización de copias de respaldo y recuperación de los datos. - Gestión de Soportes-Inventario de Soportes Los soportes y documentos que contengan datos de carácter personal deberán permitir identificar el tipo de información que contienen, ser inventariados y sólo deberán ser accesibles por el personal indicado para ello. La salida de soportes y documentos que contengan datos de carácter personal, incluidos los comprendidos en un correo electrónico, fuera de la empresa, deberá ser autorizada por el Responsable del Fichero. En el traslado de la documentación, se deberán adoptar las medidas dirigidas a evitar la sustracción, pérdida o acceso indebido a la información durante su transporte. Cuando se proceda a desechar cualquier documento o soporte que contenga datos de carácter personal deberá procederse a su destrucción o borrado, mediante la adopción de las medidas dirigidas a evitar el acceso a la información contenida en el mismo o su recuperación posterior. La identificación de los soportes que contengan datos de carácter personal que la empresa considere especialmente delicados dentro del nivel de seguridad básico, deberán ser etiquetados de forma comprensible y con significado que permita a los usuarios con acceso a estos soportes y documentos identificar su contenido, de tal forma que no sea comprensible para el resto.
90 - Funciones y Obligaciones del Personal El Responsable del Fichero debe adoptar las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones, así como, debe informar, al personal, a cercar de las consecuencias en que pudiere incurrir en caso de incumplimiento. - Procedimientos de Notificación y Registro de Incidencias La empresa Responsable del Fichero debe rellenar en este apartado los siguientes aspectos comprendidos dentro del Documento de Seguridad: El procedimiento de notificación y gestión de las incidencias que afecten a los datos de carácter personal, Hacer constar el tipo de incidencia; el momento en que se ha producido, o en su caso, La persona que realiza la notificación, A quien se le comunica, Los efectos que se hubieran derivado de la misma y Las medidas correctoras. - Encargado del Tratamiento El Encargado del Tratamiento contratado por la empresa debe cumplir con las medidas de seguridad que observa la Ley, a este respecto. En el Documento de seguridad deben quedar recogidos los datos identificativos del mismo: Nombre fiscal. CIF Dirección Código Postal Localidad. Ciudad.
91 b) NIVEL MEDIO - Descripción del Sistema Informático de Acceso al Fichero El Responsable del fichero de la empresa debe establecer un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado. Exclusivamente, el personal autorizado en el presente documento de seguridad podrá tener acceso a los lugares donde se hallen instalados los equipos físicos que den soporte a los sistemas de información. El mecanismo de autenticación basado en un sistema de contraseñas, debe comprender un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad. El Responsable del Fichero debe establecer, para este nivel de seguridad un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado a los sistemas de información. La periodicidad para cambiar las contraseñas en ningún caso debe ser superior a un año, mientras estén vigentes, éstas se almacenarán de forma ininteligible. - Personal Autorizado para Acceder al Fichero El Responsable del fichero debe elaborar una relación actualizada de los que ocupa en la empresa, así como de los accesos autorizados para cada uno de ellos. - Procedimientos de Control de Acceso Debe implantarse un control de acceso que permita a los usuarios tener acceso, únicamente, a aquellos recursos que precisen para el desarrollo de sus funciones. Dentro de este nivel debe ser cumplimentado el sistema de registro de entrada y salida de soportes con la siguiente información: Tipo de documento o soporte. La fecha y hora El emisor. pág. 91
92 El número de documentos o soportes incluidos en el envío. El tipo de información. La forma de envío. Personal responsable de la recepción que deberá estar debidamente autorizada. Es función del Responsable del fichero establecer mecanismos para evitar que autorizados. un usuario pueda acceder a recursos con derechos distintos de los Únicamente, las personas que hayan sido designadas en este documento de seguridad podrán conceder, alterar o anular el acceso autorizado a los usuarios sobre los recursos de la empresa relativos a los datos de carácter personal, conforme a los criterios establecidos por el Responsable del fichero. En caso de que exista personal ajeno a la empresa, que pueda tener acceso a los datos de carácter personal gestionados por ésta misma, debe estar sometido a las mismas condiciones y obligaciones de seguridad que el resto del personal de la empresa. - Copias de Respaldo y Recuperación La empresa debe llevar a cabo las copias de respaldo, semanalmente, salvo que en dicho periodo no se hubiera producido una actualización de los datos. El Responsable del Fichero se encargará de verificar cada seis meses la correcta definición, funcionabilidad y aplicación de los procedimientos de realización de copias de respaldo y recuperación de los datos. - Gestión de Soportes-Inventario de Soportes Los soportes y documentos que contengan datos de carácter personal deberán permitir identificar el tipo de información que contienen, ser inventariados y sólo deberán ser accesibles por el personal indicado para ello. La salida de soportes y documentos que contengan datos de carácter personal, incluidos los comprendidos en un correo electrónico, fuera de la empresa, deberá ser autorizada por el Responsable del Fichero. En el traslado de la documentación, se deberán adoptar las medidas dirigidas a evitar la sustracción, pág. 92
93 pérdida o acceso indebido a la información durante su transporte. Cuando se proceda a desechar cualquier documento o soporte que contenga datos de carácter personal deberá procederse a su destrucción o borrado, mediante la adopción de las medidas dirigidas a evitar el acceso a la información contenida en el mismo o su recuperación posterior. La identificación de los soportes que contengan datos de carácter personal que la empresa considere especialmente delicados dentro del nivel de seguridad básico, deberán ser etiquetados de forma comprensible y con significado que permita a los usuarios con acceso a estos soportes y documentos identificar su contenido, de tal forma que no sea comprensible para el resto. - Funciones y Obligaciones del Personal El Responsable del Fichero debe adoptar las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones, así como debe informar, al personal, a cercar de las consecuencias en que pudiere incurrir en caso de incumplimiento. En el nivel que nos encontramos deberán designarse uno o varios responsables de seguridad encargados de desempeñar las siguientes funciones; coordinar y controlar las medidas definidas en el mismo. En el Documento de Seguridad debemos hacer constar si existen varios Responsables de Seguridad para una misma materia o según existan materias distintas. - Procedimientos de Notificación y Registro de Incidencias La empresa Responsable del fichero debe rellenar en este apartado: El procedimiento de notificación y gestión de las incidencias que afecten a los datos de carácter personal, Constar el tipo de incidencia, el momento en que se ha producido, o en su caso, La persona que realiza la notificación, A quien se le comunica, Efectos que se hubieran derivado de la misma, pág. 93
94 Medidas correctoras, Procedimientos realizados de recuperación de los datos, Indicación de la persona que ejecutó el proceso, Los datos restaurados, y en los casos oportunos cuales son los datos que han sido necesarios grabar manualmente en el procedimiento de recuperación. Autorización del Responsable del Fichero para la ejecución de los procedimientos de recuperación de los datos. - Encargado del Tratamiento El encargado del tratamiento contratado por la empresa debe cumplir con las medidas de seguridad que observa la Ley, a este respecto. En el Documento de seguridad deben quedar recogidos los datos identificativos del mismo: Nombre fiscal. CIF Dirección Código Postal Localidad. Ciudad. c) NIVEL ALTO: - Descripción del Sistema Informático El Responsable del fichero debe establecer un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado. De cada intento de acceso se guardarán, como mínimo los siguientes datos: Identificación del usuario, La fecha y hora en que se realizó. El fichero accedido, El tipo de acceso, pág. 94
95 Si el acceso ha sido autorizado o denegado. El periodo mínimo de conservación de los datos será de dos años, de tal manera que el Responsable de Seguridad designado por la empresa se encargará de resolver, al menos una vez al mes la información de control registrada y elaborar un informe de las revisiones realizadas y los problemas detectados. - Entorno del Sistema Operativo y de las Comunicaciones Las medidas de seguridad que deben implantarse para la transmisión de los datos de carácter personal a través de redes públicas o redes inalámbricas de comunicaciones electrónicas se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros. - Personal Autorizado para Acceder al Fichero El Responsable del fichero debe elaborar una relación actualizada de los usuarios y perfiles de los usuarios donde se detalle; Nombre y apellido, DNI y Cargo que ocupa en la empresa, así como de los accesos autorizados para cada uno de ellos. - Procedimientos de Control de Acceso Debe implantarse un control de acceso que permita a los usuarios tener acceso, únicamente, a aquellos recursos que precisen para el desarrollo de sus funciones. Dentro de este nivel debe ser cumplimentado el sistema de registro de entrada y salida de soportes con la siguiente información: Tipo de documento o soporte. La fecha y hora El emisor. El número de documentos o soportes incluidos en el envío. El tipo de información. La forma de envío. Personal responsable de la recepción que deberá estar debidamente autorizada. pág. 95
96 Es función del Responsable del fichero establecer mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados. Únicamente, las personas que hayan sido designadas en este documento de seguridad podrán conceder, alterar o anular el acceso autorizado a los usuarios sobre los recursos de la empresa relativos a los datos de carácter personal, conforme a los criterios establecidos por el Responsable del fichero. En caso de que exista personal ajeno a la empresa, que pueda tener acceso a los datos de carácter personal gestionados por ésta misma, debe estar sometido a las mismas condiciones y obligaciones de seguridad que el resto del personal de la empresa. - Copias de Respaldo y Recuperación Los soportes y documentos que contengan datos de carácter personal deberán permitir identificar el tipo de información que contienen, utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido, y dificulten la identificación para el resto de las personas. La distribución de los soportes que contengan datos de carácter personal se realizará cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha información no sea accesible o manipulada durante su transporte. Se cifrarán los datos que contengan los dispositivos portátiles cuando éstos se encuentren fuera de las instalaciones que están bajo el control del responsable del fichero. - Gestión de Soportes-Inventario de Soportes La empresa Responsable del fichero debe realizar una copia de respaldo de los datos y de los procedimientos de recuperación de los datos y de los procedimientos de recuperación de los mismos en lugar diferente de aquel en que se encuentren los equipos informáticos que los tratan, utilizando elementos que garanticen la integridad y recuperación de la información, de forma que sea posible su recuperación. pág. 96
97 - Funciones y Obligaciones del Personal El Responsable del Fichero debe adoptar las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones, así como debe informar, al personal, a cercar de las consecuencias en que pudiere incurrir en caso de incumplimiento. En el nivel que nos encontramos deberán designarse uno o varios responsables de seguridad encargados de desempeñar las siguientes funciones; coordinar y controlar las medidas definidas en el mismo. En el Documento de Seguridad debemos hacer constar si existen varios Responsables de Seguridad para una misma materia o según existan materias distintas. - Procedimientos de Notificación y Registro de Incidencias La empresa Responsable del fichero debe rellenar en este apartado: El procedimiento de notificación y gestión de las incidencias que afecten a los datos de carácter personal Constar el tipo de incidencia, el momento en que se ha producido, o en su caso La persona que realiza la notificación A quien se le comunica Efectos que se hubieran derivado de la misma Medidas correctoras Procedimientos realizados de recuperación de los datos Indicación de la persona que ejecutó el proceso Los datos restaurados, y en los casos oportunos cuales son los datos que han sido necesarios grabar manualmente en el procedimiento de recuperación Autorización del Responsable del Fichero para la ejecución de los procedimientos de recuperación de los datos - Encargado del Tratamiento El encargado del tratamiento contratado por la empresa debe cumplir con las medidas de seguridad que observa la Ley, a este respecto. En el Documento de pág. 97
98 seguridad deben quedar recogidos los datos identificativos del mismo: Nombre fiscal CIF Dirección Código Postal Localidad Ciudad 2.3 FICHEROS NO AUTOMATIZADOS Son ficheros no automatizados aquellos cuyo soporte físico permite la lectura y escritura directa, sin necesidad de utilizar un dispositivo electrónico intermediario. Aquí podríamos incluir, los datos contenidos en soporte papel u otro material imprimible, y que podemos tener ordenados en una carpeta, cuaderno, fichero, etc. En el momento de la inscripción del fichero habrá que tener en cuenta los siguientes datos: - Nombre y descripción del fichero - Finalidad y usos del fichero - Estructura del fichero - Procedencia de los datos - Nivel de seguridad del fichero - Consentimiento de los afectados - Previsión de cesiones de datos Finalmente, no será necesario aplicar las medidas de seguridad de carácter organizativo o jurídico, informando a los afectados y garantizando que sus derechos están protegidos. Las medidas de seguridad aplicables a los ficheros no automatizados son las siguientes: a) NIVEL BÁSICO - Locales y Equipamientos Los datos de carácter personal recogidos en soporte papel deberá ser archivado por la empresa, de acuerdo con los criterios de archivo que se encuentre protocolizados por la empresa, en caso de que no existan tendrá que ser establecido por el Responsable del Fichero. pág. 98
99 Es necesario que los dispositivos de almacenamiento dispongan de mecanismos que obstaculicen su apertura, en caso de que no se disponga de éstas el Responsable del Fichero adoptará las medidas que impidan el acceso de personan no autorizadas. La persona que disponga de los documentos que contienen datos de carácter personal, en el desempeño de sus funciones, al encontrarse esta información en proceso de revisión o tramitación, la persona que se encuentre a cargo de la misma deberá custodiarla e impedir en todo momento que pueda ser accedida por persona no autorizada. - Procedimientos de control de acceso Debe implantarse un control de acceso que permita a los usuarios tener acceso, únicamente, a aquellos recursos que precisen para el desarrollo de sus funciones. Es función del Responsable del fichero establecer mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados. Únicamente, las personas que hayan sido designadas en este documento de seguridad podrán conceder, alterar o anular el acceso autorizado a los usuarios sobre los recursos de la empresa relativos a los datos de carácter personal, conforme a los criterios establecidos por el Responsable del fichero. En caso de que exista personal ajeno a la empresa, que pueda tener acceso a los datos de carácter personal gestionados por ésta misma, debe estar sometido a las mismas condiciones y obligaciones de seguridad que el resto del personal de la empresa. - Gestión de Soportes-Inventario de Soportes Los soportes y documentos que contengan datos de carácter personal deberán permitir identificar el tipo de información que contienen, ser inventariados y sólo deberán ser accesibles por el personal indicado para ello. La salida de soportes y documentos que contengan datos de carácter personal, incluidos los comprendidos en un correo electrónico, fuera de la empresa, deberá ser autorizada por el Responsable del Fichero. En el traslado de la documentación, pág. 99
100 se deberán adoptar las medidas dirigidas a evitar la sustracción, pérdida o acceso indebido a la información durante su transporte. Cuando se proceda a desechar cualquier documento o soporte que contenga datos de carácter personal deberá procederse a su destrucción o borrado, mediante la adopción de las medidas dirigidas a evitar el acceso a la información contenida en el mismo o su recuperación posterior. La identificación de los soportes que contengan datos de carácter personal que la empresa considere especialmente delicados dentro del nivel de seguridad básico, deberán ser etiquetados de forma comprensible y con significado que permita a los usuarios con acceso a estos soportes y documentos identificar su contenido, de tal forma que no sea comprensible para el resto. - Funciones y Obligaciones el Personal El Responsable del Fichero debe adoptar las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones, así como debe informar, al personal, a cercar de las consecuencias en que pudiere incurrir en caso de incumplimiento. - Procedimientos de Notificación y Registro de Incidencias La empresa Responsable del fichero debe rellenar en este apartado: el procedimiento de notificación y gestión de las incidencias que afecten a los datos de carácter personal, constar el tipo de incidencia, el momento en que se ha producido, o en su caso, la persona que realiza la notificación, a quien se le comunica, los efectos que se hubieran derivado de la misma y las medidas correctoras. - Encargado del Tratamiento El encargado del tratamiento contratado por la empresa debe cumplir con las pág. 100
101 medidas de seguridad que observa la Ley, a este respecto. En el Documento de seguridad deben quedar recogidos los datos identificativos del mismo: Nombre fiscal CIF Dirección Código Postal Localidad Ciudad b) NIVEL MEDIO - Locales y Equipamientos Los datos de carácter personal recogidos en soporte papel deberá ser archivado por la empresa, de acuerdo con los criterios de archivo que se encuentre protocolizados por la empresa, en caso de que no existan tendrá que ser establecido por el Responsable del Fichero. Es necesario que los dispositivos de almacenamiento dispongan de mecanismos que obstaculicen su apertura, en caso de que no se disponga de éstas el Responsable del Fichero adoptará las medidas que impidan el acceso de personan no autorizadas. La persona que disponga de los documentos que contienen datos de carácter personal, en el desempeño de sus funciones, al encontrarse esta información en proceso de revisión o tramitación, la persona que se encuentre a cargo de la misma deberá custodiarla e impedir en todo momento que pueda ser accedida por persona no autorizada. - Procedimientos de Control de Acceso Debe implantarse un control de acceso que permita a los usuarios tener acceso, únicamente, a aquellos recursos que precisen para el desarrollo de sus funciones. Es función del Responsable del fichero establecer mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados. pág. 101
102 Únicamente, las personas que hayan sido designadas en este documento de seguridad podrán conceder, alterar o anular el acceso autorizado a los usuarios sobre los recursos de la empresa relativos a los datos de carácter personal, conforme a los criterios establecidos por el Responsable del fichero. En caso de que exista personal ajeno a la empresa, que pueda tener acceso a los datos de carácter personal gestionados por ésta misma, debe estar sometido a las mismas condiciones y obligaciones de seguridad que el resto del personal de la empresa. Dentro de este nivel debe ser cumplimentado el sistema de registro de entrada y salida de soportes con la siguiente información: Tipo de documento o soporte. La fecha y hora El emisor. El número de documentos o soportes incluidos en el envío. El tipo de información. La forma de envío. Personal responsable de la recepción que deberá estar debidamente autorizada. Es función del Responsable del fichero establecer mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados. Únicamente, las personas que hayan sido designadas en este documento de seguridad podrán conceder, alterar o anular el acceso autorizado a los usuarios sobre los recursos de la empresa relativos a los datos de carácter personal, conforme a los criterios establecidos por el Responsable del fichero. En caso de que exista personal ajeno a la empresa, que pueda tener acceso a los datos de carácter personal gestionados por ésta misma, debe estar sometido a las mismas condiciones y obligaciones de seguridad que el resto del personal de la empresa. - Gestión de Soportes-Inventario de Soportes Los soportes y documentos que contengan datos de carácter personal deberán pág. 102
103 permitir identificar el tipo de información que contienen, ser inventariados y sólo deberán ser accesibles por el personal indicado para ello. La salida de soportes y documentos que contengan datos de carácter personal, incluidos los comprendidos en un correo electrónico, fuera de la empresa, deberá ser autorizada por el Responsable del Fichero. En el traslado de la documentación, se deberán adoptar las medidas dirigidas a evitar la sustracción, pérdida o acceso indebido a la información durante su transporte. Cuando se proceda a desechar cualquier documento o soporte que contenga datos de carácter personal deberá procederse a su destrucción o borrado, mediante la adopción de las medidas dirigidas a evitar el acceso a la información contenida en el mismo o su recuperación posterior. La identificación de los soportes que contengan datos de carácter personal que la empresa considere especialmente delicados dentro del nivel de seguridad básico, deberán ser etiquetados de forma comprensible y con significado que permita a los usuarios con acceso a estos soportes y documentos identificar su contenido, de tal forma que no sea comprensible para el resto. - Funciones y Obligaciones del Personal El Responsable del Fichero debe adoptar las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones, así como debe informar, al personal, a cercar de las consecuencias en que pudiere incurrir en caso de incumplimiento. En el nivel que nos encontramos deberán designarse uno o varios responsables de seguridad encargados de desempeñar las siguientes funciones; coordinar y controlar las medidas definidas en el mismo. En el Documento de Seguridad debemos hacer constar si existen varios Responsables de Seguridad para una misma materia o según existan materias distintas. - Procedimientos de Notificación y Registro de Incidencias La empresa Responsable del fichero debe rellenar en este apartado: pág. 103
104 El procedimiento de notificación y gestión de las incidencias que afecten a los datos de carácter personal, Constar el tipo de incidencia, el momento en que se ha producido, o en su caso, La persona que realiza la notificación, A quien se le comunica, Efectos que se hubieran derivado de la misma, Medidas correctoras, Procedimientos realizados de recuperación de los datos, Indicación de la persona que ejecutó el proceso, Los datos restaurados, y en los casos oportunos cuales son los datos que han sido necesarios grabar manualmente en el procedimiento de recuperación. Autorización del Responsable del Fichero para la ejecución de los procedimientos de recuperación de los datos. - Encargado del Tratamiento El encargado del tratamiento contratado por la empresa debe cumplir con las medidas de seguridad que observa la Ley, a este respecto. En el Documento de seguridad deben quedar recogidos los datos identificativos del mismo: Nombre fiscal. CIF Dirección Código Postal Localidad. Ciudad. c) NIVEL ALTO Los armarios, archivadores u otros elementos en los que se almacenan los ficheros no pág. 104
105 automatizados con datos de carácter personal deben encontrarse en áreas dotadas de sistemas de apertura mediante llave u otro dispositivo equivalente. Estas áreas deberán permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el fichero. - Personal Autorizado para Acceder al Fichero El acceso a la documentación se limitará exclusivamente al personal autorizado, se establecerán mecanismos que permitan identificar los accesos realizados en el caso de documentos que puedan ser utilizados por múltiple usuarios. - Procedimiento de Control de Acceso Debe implantarse un control de acceso que permita a los usuarios tener acceso, únicamente, a aquellos recursos que precisen para el desarrollo de sus funciones. Es función del Responsable del Fichero establecer mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados. Únicamente, las personas que hayan sido designadas en este documento de seguridad podrán conceder, alterar o anular el acceso autorizado a los usuarios sobre los recursos de la empresa relativos a los datos de carácter personal, conforme a los criterios establecidos por el Responsable del fichero. En caso de que exista personal ajeno a la empresa, que pueda tener acceso a los datos de carácter personal gestionados por ésta misma, debe estar sometido a las mismas condiciones y obligaciones de seguridad que el resto del personal de la empresa. Dentro de este nivel debe ser cumplimentado el sistema de registro de entrada y salida de soportes con la siguiente información: Tipo de documento o soporte La fecha y hora El emisor El número de documentos o soportes incluidos en el envío El tipo de información La forma de envío pág. 105
106 Personal responsable de la recepción que deberá estar debidamente autorizada Es función del Responsable del fichero establecer mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados. Únicamente, las personas que hayan sido designadas en este documento de seguridad podrán conceder, alterar o anular el acceso autorizado a los usuarios sobre los recursos de la empresa relativos a los datos de carácter personal, conforme a los criterios establecidos por el Responsable del fichero. En caso de que exista personal ajeno a la empresa, que pueda tener acceso a los datos de carácter personal gestionados por ésta misma, debe estar sometido a las mismas condiciones y obligaciones de seguridad que el resto del personal de la empresa. - Copia o Reproducción La realización de copias o reproducción de los documentos únicamente podrá ser realizada bajo el control del personal autorizado en el documento de seguridad. Deberá procederse a la destrucción de las copias o reproducciones desechadas de forma que evite el acceso a la información contenida en las mismas o su recuperación posterior. - Gestión de Soportes-Inventario de Soportes Los soportes y documentos que contengan datos de carácter personal deberán permitir identificar el tipo de información que contienen, utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido, y dificulten la identificación para el resto de las personas. La distribución de los soportes que contengan datos de carácter personal se realizará cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha información no sea accesible o manipulada durante su transporte. Se cifrarán los datos que contengan los dispositivos portátiles cuando éstos se encuentren fuera de las instalaciones que están bajo el control del responsable del fichero. pág. 106
107 La empresa Responsable del Fichero debe realizar una copia de respaldo de los datos y de los procedimientos de recuperación de los datos y de los procedimientos de recuperación de los mismos en lugar diferente de aquel en que se encuentren los equipos informáticos que los tratan, utilizando elementos que garanticen la integridad y recuperación de la información, de forma que sea posible su recuperación. - Funciones y Obligaciones del Personal El Responsable del Fichero debe adoptar las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones, así como debe informar, al personal, a cercar de las consecuencias en que pudiere incurrir en caso de incumplimiento. En el nivel que nos encontramos deberán designarse uno o varios responsables de seguridad encargados de desempeñar las siguientes funciones; coordinar y controlar las medidas definidas en el mismo. En el Documento de Seguridad debemos hacer constar si existen varios Responsables de Seguridad para una misma materia o según existan materias distintas. - Procedimientos de Notificación y Registro de Incidencias La empresa Responsable del fichero debe rellenar en este apartado: El procedimiento de notificación y gestión de las incidencias que afecten a los datos de carácter personal, Constar el tipo de incidencia, el momento en que se ha producido, o en su caso, La persona que realiza la notificación, A quien se le comunica, Efectos que se hubieran derivado de la misma, Medidas correctoras, Procedimientos realizados de recuperación de los datos, Indicación de la persona que ejecutó el proceso, Los datos restaurados, y en los casos oportunos cuales son los datos que pág. 107
108 han sido necesarios grabar manualmente en el procedimiento de recuperación. Autorización del Responsable del Fichero para la ejecución de los procedimientos de recuperación de los datos. - Encargado del Tratamiento El encargado del tratamiento contratado por la empresa debe cumplir con las medidas de seguridad que observa la Ley, a este respecto. En el Documento de seguridad deben quedar recogidos los datos identificativos del mismo: Nombre fiscal. CIF Dirección Código Postal Localidad. Ciudad. 3. NOTIFICACIÓN DE CREACIÓN, MODIFICACIÓN Y SUPRESIÓN DE FICHEROS DE TITULARIDAD PRIVADA A LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS a) Creación de Ficheros Privados Los ficheros privados son aquellos, de los que son responsables las personas, empresas o entidades de derecho privado, con independencia de quién ostente la titularidad de su capital o de la procedencia de sus recursos económicos, así como los ficheros de los que sean responsables las corporaciones de derecho público, en cuanto dichos ficheros no se encuentren estrictamente vinculados al ejercicio de potestades de derecho público que a las mismas atribuye su normativa específica. Existe la posibilidad de crearlos sólo con el requisito de que su existencia sea necesaria para el logro de la actividad u objeto legítimo de la personal, empresa o entidad que sean titulares del fichero. Se tiene que justificar que la creación del fichero es una necesidad, pág. 108
109 si no, se puede denegar la inscripción en el Registro General. Se obliga a los ficheros que una vez creados, respeten las garantías de la LOPD y las establecidas en el Reglamento. Todo esto significa que la inscripción del fichero en el Registro es un paso previo para su funcionamiento, que, cualquiera que sea, debe cumplir con la LOPD y su reglamento. Los ficheros de datos de carácter personal de titularidad privada, serán notificados a la Agencia Española de Protección de Datos, por la persona o entidad privada que pretenda crearlos, con carácter previo a su creación. La notificación previa a la inscripción de los ficheros en la Agencia Española de Protección de Datos ha de contener: - Identificación del Responsable del Fichero - Identificación del Fichero - Finalidades y usos previstos - El sistema de tratamiento empleado para su organización - El colectivo de personas sobre las que se obtienen datos - El procedimiento y procedencia de los datos - Las categorías de datos - El servicio o unidad de acceso - La indicación del nivel de medidas de seguridad básico, medio o alto exigible - Identificación en su caso, del encargado del tratamiento donde se encuentra ubicado el fichero - Los destinatarios de cesiones y transferencias internacionales de datos La notificación se realizará conforme al siguiente procedimiento establecido en el Capítulo IV del Título VIII del reglamento. b) Procedimiento de Inscripción o Cancelación de los Ficheros El procedimiento de inscripción de los ficheros, se iniciará con la notificación de la creación, modificación o supresión de los ficheros por el interesado o en su caso. pág. 109
110 La notificación se efectuará cumplimentando los modelos o formularios electrónicos de la notificación de creación, modificación o supresión de ficheros, publicados por la Agencia Española de Protección de Datos, que permitan su presentación a través de medios telemáticos o en soporte papel. Estos modelos o formularios se podrán obtener gratuitamente en la página web de la Agencia Española de Protección de Datos. El Director de la Agencia, podrá establecer procedimientos simplificados de notificación en atención a las circunstancias que concurran en el tipo de fichero al que se refiera la notificación. La notificación se podrá efectuar tanto en soporte electrónico como en un soporte papel, la notificación en soporte electrónico podrá realizarse mediante: - Comunicación electrónica a través de Internet - Firma electrónica - Soporte informático La Agencia pondrá a disposición de los interesados de forma gratuita, un programa de ayuda para la generación de las notificaciones. La notificación efectuada en soporte papel será válida cuando, para su cumplimentación, hayan sido utilizados los modelos o formularios publicados por la Agencia. En la notificación, Responsable del Fichero deberá declarar un domicilio a efectos de notificaciones en el procedimiento. Una vez recibida la notificación, si la misma no contuviera la información preceptiva o se advirtieran defectos formales, el Registro Central de Protección de Datos, requerirá al Responsable del Fichero que complete o subsane la notificación, deberá subsanarse o mejorar la solicitud en el plazo de tres meses, en el caso de que sea necesario modificar la norma o acuerdo de creación del fichero. El director de la Agencia Española de Protección de Datos dictará resolución denegando la inscripción, modificación, y/o cancelación cuando, de los documentos aportados, se desprenda que la notificación no está conforme a la LOPD. La resolución deberá estar motivada, es decir, deberán indicarse las causas que dieron lugar a que no se inscribiera, modificara o cancelara el fichero. pág. 110
111 Si la notificación referida a la creación, modificación o supresión de ficheros contuviera la información preceptiva y se cumplieran todas las exigencias legales se procederá a la inscripción de los ficheros en el Registro General de Protección de Datos. La inscripción contendrá: o El código asignado en el Registro o La identificación del Responsable del Fichero o La identificación del fichero o tratamiento o La descripción de su finalidad y usos previstos o El sistema de tratamiento empleado en su organización o El Colectivo de personas sobre el que se obtienen los datos o El Procedimiento y procedencia de los datos o Las categorías de los datos o El servicio o unidad de acceso o Nivel de medidas de seguridad exigible conforme a lo establecido en el art. 81 del reglamento o Así como, en su caso, la identificación del encargado de tratamiento en donde se encuentre ubicado el fichero o Los destinatarios de cesiones y transferencias internacionales La inscripción del fichero deberá encontrarse en todo momento actualizada. Cualquier modificación que afecte al contenido de la inscripción de un fichero deberá ser notificada a la agencia Española de Protección de datos o a las autoridades de control autonómicas competentes, conforme a lo que hemos mencionado anteriormente. En el caso de que el responsable del fichero decida la supresión, también deberá notificarse a la AEPD para que se proceda a la cancelación de la inscripción en el registro correspondiente. En la notificación de la modificación o supresión de ficheros, deberá indicarse en la misma el código de inscripción del fichero en el Registro General de Protección de Datos. El Director de la Agencia de Protección de datos podrá acordar de oficio la cancelación de la inscripción de un fichero cuando concurran circunstancias que acrediten la pág. 111
112 imposibilidad de su existencia, bien por propia iniciativa, o en virtud de denuncia, previa tramitación del procedimiento establecido en el Título XI en su Capítulo IV del reglamento. Pasos a seguir para la correcta cumplimentación de los formularios nota de titularidad privada en soporte papel a través del Sitio Web de la Agencia Española de Protección de datos pág. 112
113 Paso 1: El primer paso, es entrar en la página principal de la AEPD ( Arriba aparecen varias opciones, una de éstas es Responsable de Ficheros. Hacemos doble clic y aparece una lista desplegable, en la que aparece Inscripción de ficheros como se muestra en la siguiente imagen. Cuadro 1 pág. 113
114 Paso 2: El segundo paso, es hacer un doble clic en inscripción de ficheros, y aparece Obtención del Formulario Nota (NOTA), como se indica en la imagen siguiente. Cuadro 2 pág. 114
115 Paso 3: Una vez dentro de Obtención del Formulario Nota seleccionamos el campo Formulario Nota de titularidad Privada Cuadro 3 pág. 115
116 Paso 4: Dentro del Formulario Nota de Titularidad Privada podremos dar de alta, modificar o suprimir ficheros seleccionando Alta, Modificación, Supresión en función de la acción que queramos llevar a cabo, tal y como viene reflejado en el Cuadro 4. Paso 5: Una vez seleccionada el Alta, Modificación o Supresión tendremos la opción de utilizar alguno de los formularios TIPO que se facilitan a través de la página web de la AEPD. En caso de que, el fichero que queramos inscribir no se encuentre, seleccionaremos el formulario nota NORMAL (Formulario en Papel, Internet, Internet firmado con certificado digital) tal y como se establece en el siguiente cuadro. Cuadro 4 pág. 116
117 Paso 6: Cumplimentar el formulario en papel TIPO o NORMAL. 1. Introducimos los datos del Responsable del Fichero como entidad que decide sobre el contenido, finalidad y uso del tratamiento. En este punto son campos obligatorios la Denominación Social, CIF/NIF, Dirección, Código Postal, Localidad y Provincia. El teléfono, fax y no son obligatorios. 2. Cumplimentamos la dirección a efectos de notificaciones donde los interesados puedan ejercitar sus derechos ARCO ante el Responsable del Fichero (Acceso, Rectificación, Cancelación y Oposición) siempre y cuando no coincida con el domicilio social. 3. En este apartado cumplimentaremos la dirección del Responsable del Fichero a efectos de notificaciones en el supuesto de que sea distinta a la establecida en los dos puntos anteriores. Cuadro 5 pág. 117
118 4. Cumplimentamos los datos de contacto del Encargado del Tratamiento como prestador de servicios con acceso a datos del Responsable del Fichero. Son de obligada cumplimentación la Razón Social de la empresa, su Domicilio y CIF. El teléfono, fax y no son obligatorios. Cuadro 6 pág. 118
119 Cuadro7 5. Identificamos el fichero a registrar en el AEPD así como las finalidades y usos previstos por el Responsable. pág. 119
120 6. Haremos referencia al origen de la información personal tratada así como el colectivo o categoría de interesados (entendidos como personas físicas de las que tratamos información personal). Cuadro 8 pág. 120
121 7. En el punto 7 identificaremos el tipo de datos recabados incluidos en el fichero de referencia así como el sistema de tratamiento ya sea automatizado, manual o mixto. Cuadro9 pág. 121
122 8. El siguiente paso será identificar el nivel de seguridad aplicable en función de la tipología de datos recabados de los interesados (nivel básico, nivel medio, nivel algo). Cuadro Aparece un listado de entidades a las que el responsable del fichero está autorizado a comunicar sus datos. Marcaremos cada una en los siguientes casos: Organizaciones o Personas directamente relacionadas con el responsable: Cuando se le comunican los datos del fichero a alguna empresa o persona vinculada al Responsable del Fichero. Organismos de la Seguridad Social: Para ficheros de Nóminas y Personal donde se comunican los datos de trabajadores de la empresa. Registros Públicos: Para el caso de que se comuniquen datos a Registros Públicos. Ej. Registro Mercantil, Registro de la Propiedad, Registro de la Propiedad Intelectual. Otros Órganos de la Administración Pública: Cuando se ceden datos de los ficheros a cualquier otro órgano que no esté previsto en el listado de opciones. Comisión Nacional del Mercado de Valores Comisión Nacional de Juego Notarios y Procuradores pág. 122
123 Fuerzas y Cuerpos de Seguridad: Para el fichero de Videovigilancia o algún otro fichero que recoja datos con interés policial o judicial. Organismos de la Unión Europea pág. 123
124 Entidades dedicadas al cumplimiento/ incumplimiento de Obligaciones Dinerarias Bancos/ Cajas de Ahorro y Cajas Rurales: Para ficheros que contengan datos económicos o financieros Proveedores). Entidades Aseguradoras Otras Entidades Financieras (Nominas y Personal, Clientes y Entidades Sanitarias: Cuando se ceden datos contenidos en ficheros de Pacientes, o algún otro dato relacionado con la salud de una personal. Prestaciones de Servicios de Telecomunicaciones Empresas dedicadas a Publicidad o Marketing Directo Asociaciones y Organizaciones sin ánimo de lucro Sindicatos y Juntas de Personal: Para ficheros de Nominas y Personal de los trabajadores de la empresa, en caso de que se cedieran sus datos a alguna organización sindical. Administración Pública con competencia en la materia: Fundamental en muchos tipos de ficheros. Ej. Videovigilancia con sesión de datos a la Administración de Justicia. Cuadro 11 pág. 124
125 10. Este último apartado lo cumplimentaremos única y exclusivamente en el supuesto de que el Responsable del Fichero comunique algún dato, incluido en el fichero, a una persona física y/o jurídica que esté ubicada fuera del Espacio Económico Europea. Seleccionaremos el País de Destino y la categoría de destinatarios de la cesión realizada. Cuadro 12 pág. 125
126 Paso 7: Validaremos el formulario nota Validar para ver si hemos completado todos los campos obligatorios, y una vez validado seleccionaremos Cumplimentar hoja de solicitud. Cuadro 13 pág. 126
127 c) Notificaciones Telemáticas a la AEPD El sistema de Notificaciones Telemáticas a la AEPD (NOTA), aprobado mediante Resolución de la Agencia Española de Protección de Datos de 12 de julio de 2006, permite a los Responsables de Ficheros con datos de carácter personal de titularidad pública y de titularidad privada: o Cumplir con la obligación que la LOPD establece de notificar sus ficheros a la AEPD a través de una herramienta que le informa y asesora acerca de los requerimientos de la notificación. o Presentar sus notificaciones a través de Internet con y sin firma electrónica o Presentar sus notificaciones en otros soportes: soportes informático o papel. o Realizar notificaciones pre cumplimentadas de forma simplificada. o Conocer el estado de tramitación de las notificaciones remitidas a través de Internet, mediante certificado de firma electrónica o mediante el código de envío generado por el formulario electrónico. o Consultar el contenido completo de la inscripción de sus ficheros en la web de la Agencia. Además, para los responsables que utilicen sus propios programas informáticos o los desarrolladores de aplicativos de protección de datos, se encuentran disponibles los formatos y especificaciones que deben cumplir sus aplicaciones para enviar notificaciones a la AEPD. El Responsable del Fichero podrá realizar las notificaciones referidas en párrafos anteriores a través de los siguientes formatos: 1. Telemático, a través de Internet, incorporando la posibilidad de utilizar firma electrónica. 2. En formato papel, cumplimentada mediante el formulario NOTA, incluyendo un código óptico de lectura para agilizar su inscripción tal y como ha sido descrito en el apartado b) anterior. 3. Para aquellos responsables de ficheros, que requieran de un sistema más ágil de pág. 127
128 intercambio de información, y quieran cumplir con sus obligaciones mediante sus propias aplicaciones informáticas, así como para aquellos desarrolladores de programas de protección de datos que quieran ofreciendo a sus clientes la posibilidad de presentar las notificaciones de sus ficheros, se ha previsto un sistema de comunicación con la AEPD en formato XML a través de Internet, con y sin certificado de firma electrónica reconocido. Las notificaciones cumplimentadas mediante el programa de generación de notificaciones de ficheros de titularidad pública y privada, aprobado mediante Resolución de la Agencia Española de Protección de Datos de 30 de mayo de 2000 (programa de ayuda) continuarán siendo válidas siempre que las mismas tengan entrada en la Agencia antes del 1 de octubre de 2007 (Resolución de la AEPD de 12 de febrero de 2007, B.O.E. nº 54 de 3 de marzo de 2007). El Registro General de Protección de Datos, adecuará de oficio las notificaciones efectuadas mediante los modelos del año 2000, a la nueva estructura definida en el sistema Nota. Las notificaciones realizadas a través de Internet con certificado de firma electrónica, se remiten al Registro Telemático de la AEPD, creado mediante Resolución de la Agencia española de Protección de Datos de 12 de julio de Una vez cumplimentada la notificación y la hoja de solicitud de forma correcta (Cuadros 14 y 15) será necesario indicar al formulario que no se van a realizar más cambios mediante el botón Finalizar Formulario (Cuadro 16) antes de proceder a la firma de la notificación. De esta manera el formulario establecerá el control de la integridad de la notificación que se va a enviar. En este momento aparecerá un icono en el lugar previsto para la firma de la personal que efectúa la notificación (Cuadro 17). pág. 128
129 Cuadro 14 Cuadro15 pág. 129
130 Cuadro 16 pág. 130
131 Cuadro17 Pulsando el icono que aparece, se firmará la notificación con el certificado de firma reconocido correspondiente a la persona que, con representación suficiente del responsable del fichero, formula la notificación. Su sistema le informará de los certificados de firma de los que dispone, ya sea instalados en su navegador o en su tarjeta criptográfica. Una vez firmada, se enviará la notificación mediante el formulario electrónico al Registro Telemático de la AEPD mediante el botón Generar/Enviar. Una vez recibida la notificación en el Registro Telemático de la AEPD, se emitirá por el mismo medio un mensaje de confirmación de la solicitud, en el que constarán los datos proporcionados por el interesado, junto con la acreditación de la fecha y hora en que produjo la recepción y una clave de identificación de la transmisión. El mensaje de confirmación se configurará de forma que pueda ser impreso o archivado informáticamente por el interesado, y que garantizará la identidad del registro y tendrá el valor recibido de presentación a efectos de lo dispuesto en el artículo 6.3 del Real Decreto 772/1999. pág. 131
132 Las notificaciones realizadas a través de internet sin firma electrónica, una vez cumplimentada la notificación y la hoja de solicitud de forma correcta, deberán ser enviadas mediante el formulario electrónico pulsando el botón Generar/Enviar que se encuentra en la hoja de solicitud de conformidad con lo establecido en los cuadros anteriores. El formulario le indicará que se está conectando con el servidor de la AEPD y, acto seguido, el sistema le enviará la Hoja de Solicitud (en formato PDF) que confirma que la notificación ha sido enviada correctamente. Dicha hoja de solicitud, firmada por la persona que efectúa la notificación, es la que deberá remitir a la AEPD. Las notificaciones en soporte papel y en soporte informático (disquete, CDROM) deben enviarse a la dirección de la AEPD. Están obligados a notificar la creación, modificación o supresión de ficheros para su inscripción en el RGPD, de acuerdo a lo dispuesto en la LOPD, aquellas personas físicas o jurídicas, de naturaleza pública o privada, u órgano administrativo, que procedan a la creación de ficheros que contengan datos de carácter personal. Los ficheros de datos de carácter personal de titularidad pública serán notificados a la Agencia Española de Protección de Datos por el órgano competente de la Administración responsable del fichero para su inscripción en el Registro General de Protección de Datos, en el plazo de treinta días desde la publicación de su norma o acuerdo de creación en el Diario Oficial correspondiente. Los ficheros de datos de carácter personal de titularidad privada serán notificados a la Agencia Española de Protección de Datos, por la persona o entidad privada que pretenda crearlos, con carácter previo a su creación. El RGPD inscribirá el fichero, si la notificación se ajusta a los requisitos exigibles, La inscripción del fichero en el RGPD es totalmente gratuita. No se encuentran dentro del ámbito de aplicación de la LOPD, y por tanto no deben notificarse, los tratamientos referidos a personas jurídicas, ni a los ficheros que se limiten únicamente a incorporar los datos de las personas físicas que presten sus servicios en aquellas, consistentes únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales. Tampoco deberán notificarse los ficheros con datos relativos a empresarios individuales, cuando hagan referencia a ellos en su calidad de comerciantes, industriales o navieros. pág. 132
133 La inscripción de un fichero deberá mantenerse actualizada en todo momento, cualquier modificación que afecte al contenido de la inscripción deberá ser previamente notificada a la Agencia Española de Protección de datos o a las autoridades de control autonómicas competentes, a fin de proceder a su inscripción en el registro correspondiente. Cuando el responsable de un fichero decida su supresión, deberá notificarla a efectos de que se proceda a la cancelación de la inscripción. En el supuesto de que no se notificase la existencia de un fichero podría incurrirse en una falta leve o grave, tal y como señala el artículo 44 de la Ley Orgánica 15/1999, quedando sujeto al régimen sancionador previsto en la Ley. d) Inscripción del Fichero por el RGPD El RGPD inscribe el fichero, si la notificación se ajusta a los requisitos exigibles. En caso contrario podrá pedir que se completen los datos que falten o se proceda a su subsanación. Una vez inscrito el fichero en el RGPD, la AEPD notificará la resolución de inscripción del Director de la Agencia española de Protección de Datos, en la que se comunicará el código de inscripción asignado, a la dirección que a esos efectos se ha hecho constar en el apartado correspondiente de la hoja de solicitud. Igualmente, cuando los interesados así lo manifieste expresamente en el formulario de notificación, podrán recibir por medios telemáticos la notificación de la resolución de inscripción, la comunicación de la necesidad de subsanar su solicitud, o cualquier otro escrito relacionada con la solicitud de inscripción de ficheros en el RGPD, para lo que deberán disponer de una dirección electrónica o efectos de notificaciones del servicio de Notificaciones Telemáticas Seguras. A través del Servicio de Notificaciones Telemáticas Seguras el Ministerio de Administraciones Públicas en colaboración con Correos pone a disposición de cualquier persona física o jurídica, que lo solicite la posibilidad de recibir de forma alternativa por vía telemática las notificaciones que actualmente reciben en papel. La suscripción a este servicio es voluntaria y tiene carácter gratuito. pág. 133
134 En todo caso, la inscripción de un fichero en el RGPD, únicamente acredita que se ha cumplido con la obligación de notificación dispuesta en la Ley Orgánica 15/1999, sin que de esta inscripción se pueda desprender el cumplimiento por parte del responsable del fichero del resto de obligaciones previstas en LOPD, sin que de esta se pueda desprender el cumplimiento por parte del responsable del fichero del resto de las obligaciones previstas en la Ley y demás disposiciones reglamentarias. La existencia de un fichero al RGPD se notifica mediante el formulario electrónico de Notificaciones Telemáticas a la AEPD (NOTA), que puede obtenerse de forma gratuita en la página web de la AEPD. Puede optar por utilizar una de las notificaciones tipo pre-cumplimentadas o bien por utilizar el formulario electrónico vacío para ser cumplimentado de forma completa por Vd. Para recibir de forma telemática la notificación de inscripción de ficheros en el RGPD necesitará previamente y por una sola vez: Disponer de una Dirección Electrónica Única del Servicio de Notificaciones Telemáticas Seguras (MAP-Correos). Una vez que disponga de la Dirección Electrónica Única, suscribirse al procedimiento de la Agencia Española de Protección de Datos. Para ello, en el apartado Suscripción a Procedimientos de la web del Servicio de Notificaciones Telemáticas Seguras seleccione AEPD como organismo emisor, la categoría Todas, y la casilla actualizar. Además, en cada notificación de ficheros a través del formulario NOTA, es preciso señalar expresamente DEU-SNTS (Dirección Electrónica Única del Servicio de Notificaciones Telemáticas Seguras), como medio de notificación en la casilla Medio de notificación de la hoja de solicitud del formulario de inscripción NOTA. Esta opción sólo estará disponible para usuarios que hayan realizado su notificación de ficheros NOTA, a través de Internet con certificado de firma electrónica reconocido pág. 134
135 e) Presentación de notificaciones de un fichero mediante el FORMULARIO NOTA Las notificaciones de ficheros a través del Formulario Nota se podrán realizar: o A través de Internet con certificado de firma electrónica reconocido o A través de Internet sin certificado de firma electrónica reconocido o En soporte papel impreso con código de barras bidimensional PDF 417 f) Notificación de la Modificación o Supresión de la Inscripción La notificación de las modificaciones o supresiones de inscripción se realizan mediante el formulario electrónico de Notificaciones Telemáticas a la AEPD (NOTA) que puede obtenerse de forma gratuita en la página web de la AEPD. Para modificar la inscripción de un fichero, previamente inscrito en el RGPD, deberá cumplimentar el formulario electrónico, la hoja de solicitud, e apartado de Modificación de la inscripción del fichero, indicando el código de inscripción asignado por la Agencia y señalando aquellos apartados que se modifican respecto a la notificación anterior, según las instrucciones que acompañan al modelo. Los apartados señalados que pretendan modificar deben cumplimentarse por completo, indicando todos los datos y no sólo los modificados respecto a notificaciones previas, ya que esta notificación es sustitutiva a efectos de inscripción en el RGPD. Asimismo, únicamente se cumplimentarán los apartados que hayan sido señalados para su modificación en el apartado Modificación de la inscripción del en caso que notifique la supresión de un fichero, deberá cumplimentar, del modelo de notificación, la hoja de solicitud y el apartado de Supresión, indicando el código de inscripción del fichero asignado por la Agencia. También deberá indicar el motivo de la supresión en el texto correspondiente, y el destino de la infracción en el siguiente campo. Si va a proceder a destruir el fichero, deberá indicar las previsiones adoptadas para ello. La notificación de un nuevo fichero o tratamiento nunca invalida o sustituye a una inscripción previa. Si no se notifica una solicitud de supresión de la inscripción anterior se produciría un duplicado de la inscripción anterior se produciría un duplicado de la inscripción. pág. 135
136 Cuadro 18 g) Notificación de un cambio de responsable Deberá indicar en el apartado Modificación de la inscripción, los datos correspondientes al responsable del fichero (Razón Social y CIF), que figuran en la inscripción del fichero. Los datos correspondientes a la nueva denominación del responsable del fichero (razón social y NIF/CIF), se introducirán en el apartado 1. Responsable del Fichero. Además de la notificación se deberá adjuntar la documentación que justifique el cambio de titular. Si el cambio se debe a un error en la consignación de los datos del responsable durante la inscripción inicial del fichero, será suficiente con enviar un escrito firmado por la persona con representación suficiente del responsable del fichero indicando la subsanación correspondiente. pág. 136
137 Cuadro 19 h) Notificación de una supresión de la inscripción por responsable distinto del que figura inscrito en el RGPD Deberá indicar en el apartado de Supresión de la inscripción, los datos correspondientes al responsable del fichero (Razón Social y CIF) que figuran en la inscripción del fichero. Cuando se notifique la supresión de la inscripción de un fichero, por responsable distinto del que figura inscrito en el RGPD, deberá acompañar documentación que justifique el cambio de titular. i) Inscripción del Encargado del Tratamiento A efectos de inscripción, el Encargado del Tratamiento (artículo 12 LOPD) no deberá figurar inscrito en el RGPD como entidad responsable de los ficheros o tratamientos. Únicamente el Responsable del Fichero deberá hacer constar los datos identificativos del Encargado del Tratamiento en el apartado 4 de la notificación de conformidad con lo establecido en el Cuadro 6. pág. 136
138 Cuando la prestación de servicio implique que el fichero se encuentre ubicado en los locales del encargado del tratamiento, se podrá indicar este extremo cumplimentado el apartado de Encargado del Tratamiento. Únicamente se consignarán en dicho apartado los datos de uno de los encargados del tratamiento. Se recomienda que se haga constar la denominación del encargado que realice el tratamiento de datos que pueda implicar una mayor duración en el tiempo, o riesgos mayores según el tipo y la cantidad de datos tratados. El resto de los encargados del tratamiento, se podrán comunicar mediante un escrito adjunto a la notificación para que el RGPD tome nota a los efectos informativos. No obstante, si se desea que figuren inscrito más de un encargado, se podrán notificar tantas inscripciones como encargados diferentes existan. Estas notificaciones se diferenciarían en los datos consignados en el apartado 4 y, en su caso, en los apartados 5. Identificación y finalidad del fichero, y 7, Tipos de Datos, estructura y organización del fichero. A.- CUESTIONES SOBRE LA CUMPLIMENTACIÓN DEL FORMULARIO ELECTRÓNICO NOTA El formulario interactivo NOTA, en formato PDF permite la cumplimentación del formulario electrónico NOTA de titularidad pública y titularidad privada, con información detallada sobre la forma de cumplimentar el formulario electrónico. El formulario interactivo NOTA, en formato PDF permite la presentación de notificaciones a través de Internet, con y sin certificado de firma electrónica, así como en soporte papel. Puede obtenerse de forma gratuita en la página web de la Agencia ( El formulario electrónico no requiere una instalación previa en su equipo por lo que puede ser cumplimentado desde la página web de la AEPD. También puede optar por guardarlo en su equipo y cumplimentarlo desde el propio PDF. En ambos casos, la notificación se enviará cifrada a través de un canal seguro mediante protocolo SSL (Secure Sockete Layer). En el caso de que su ordenador se conecte a Internet mediante, un servidor proxy, deberá pág. 137
139 enviar la notificación a través del formulario electrónico NOTA abierto en su navegador. Para abrir el formulario NOTA, desde su navegador existen varias opciones que difieren en función del navegador y sistema operativo utilizado. Una de las más comunes es abrir el formulario PDF mediante la opción Archivo/abrir de su navegador. No obstante, si no se conecta a Internet mediante un servidor proxy, y no puede enviar su notificación desde el propio PDF, puede enviarla a través del formulario electrónico NOTA abierto en su navegador, tal y como se ha indicado anteriormente. El formulario electrónico presente el mismo aspecto visual de un formulario en soporte papel, y puede ser cumplimentado desplazándose a través de las distintas páginas por medio de la barra de desplazamiento lateral. También puede acceder a una página concreta del formulario, a través del acceso directo que le proporciona la pestaña denominada Páginas, donde aparecerán las hojas que configuran el formulario en cada fase de cumplimentación. Se recomienda, mantener actualizada la versión del formulario NOTA con el fin de asegurarse que utiliza la versión que incorpora los últimos cambios. No obstante, al presentar la notificación a través de Internet el sistema, le informará en caso que deba proceder a descargar una nueva versión del formulario. El formulario electrónico NOTA, incorpora funcionalidades de dinamismo que requieren la instalación de Adobe Reader versión 7 o superior. Los pasos para la cumplimentación del Formulario son los siguientes: o Responder a las preguntas iniciales del asistente dependiendo del tipo de solicitud y forma de presentación elegido. o Cumplimentar los apartados de la notificación. Se recomienda guardar la notificación antes de pasar a la siguiente fase de cumplimentación, ya que una vez que se haya optado por cumplimentar la hoja de solicitud no se podrán realizar nuevos cambios en la notificación. o Cumplimentar la hoja de solicitud o Generar nube de puntos/enviar la notificación: En el caso de presentación a través de Internet con certificado de firma electrónica, deberá antes Finalizar y Firmar la notificación con su certificado de firma electrónica reconocido. En el caso de presentación de formulario en papel, se generará el código de barras pág. 138
140 bidimensional PDF 417 (nube de puntos), así como el correspondiente código de envío. En las presentaciones a través de Internet, deberá recibir el acuse de recibo de la AEPD del envío realizado. La no recepción del mensaje de confirmación, o en su caso, la recepción de un mensaje de indicación de error implica que no se ha producido la recepción del mismo, debiendo realizarse la presentación en otro momento o utilizando otros medios. Enviar la hoja de solicitud firmada a la AEPD. En el caso de presentación a través de Internet con certificado de firma electrónica no será necesario remitir la hoja de solicitud. En el caso de presentación en formulario en papel, se presentará la hoja de solicitud con el código bidimensional correctamente impreso, así como las dos páginas con el contenido de la notificación en las que deberá figurar el código de envío generado por el formulario electrónico. Dependiendo de la forma de presentación elegida, la notificación podrá ser presentada través de los siguientes medios: a) Presentación a través de Internet con Certificado de Firma Reconocido Una vez cumplimentada la notificación y la hoja de solicitud de forma correcta, será necesario indicar que no se van a realizar más cambios mediante el botón Finalizar formulario para proceder a la firma de la notificación, de conformidad con lo establecido en el Cuadro 16. De esta manera el formulario establecerá el control de la integridad de la notificación que se va enviar. En ese momento aparecerá un icono en el lugar previsto para la firma de la personal que efectúa la notificación (Cuadro 17). Pulsando el icono que aparece, se firmará la notificación con el certificado de firma reconocido correspondiente a la personal que, con representación suficiente del responsable del fichero, formula la notificación. Su sistema le informará de los certificados de firma de los que dispone, ya sea instalados en su navegador o en su tarjeta criptográfica. Una vez firmada, se enviará la notificación mediante el formulario electrónico al Registro Telemático de la AEPD. Una vez recibida la notificación en el Registro Telemático de la AEPD, se emitirá por pág. 139
141 el mismo medio, un mensaje de confirmación de la solicitud en el que constarán los datos proporcionados por el interesado, junto con la acreditación de la fecha y hora en que produjo la recepción y una clave de identificación de la transmisión. La no recepción del mensaje de confirmación, o en su caso, la recepción de un mensaje de indicación de error implica que no se ha producido la recepción del mismo, debiendo realizarse la presentación en otro momento o utilizando otros medios. La presentación de solicitudes, escritos y comunicaciones al Registro Telemático podrá realizarse durante las 24 horas de todos los días de años. A efectos del cómputo del plazo, la recepción en un día inhábil se entenderá efectuada el primer día hábil siguiente. En este caso, en el asiento de entrada se inscribirán como fecha y hora de presentación aquéllas en que se produjo efectivamente la recepción, constando como fecha y hora de entrada las cero horas y un segundo del primer día hábil siguiente. El calendario de días inhábiles, a efectos de este Registro Telemático será el que se determine en la resolución anual publicada en el Boletín Oficial del Estado para todo el territorio nacional por el Ministerio de Administraciones Públicas, según lo dispuesto en el artículo 48.7 de la Ley 30/1992. b) A través de Internet sin Certificado de Firma electrónica Reconocido Una vez cumplimentada la notificación y la hoja de solicitud e forma correcta, deberá enviar la notificación mediante el formulario electrónico pulsando el botón Generar/Enviar que se encuentra en la hoja de solicitud (Cuadro 17). El formulario le indicará que se está conectando con el servidor de la AEPD y, acto seguido, el sistema le enviará la hoja de solicitud (en formato PDF) que confirma que la notificación ha sido enviada correctamente. Dicha hoja de solicitud, firmada por la persona que efectúa la notificación, es la que deberá remitir a la AGPD. Cuando la notificación se envíe a través de Internet sin certificado de firma reconocido, no se considerará recibida la notificación efectuada por Internet, sino la fecha en la que tenga entrada en la Agencia española de Protección de Datos la hoja de solicitud firmada de forma manual, careciendo de efecto alguno las notificaciones enviadas por Internet sin certificado de firma reconocido, si la hoja de solicitud de inscripción, debidamente cumplimentada y firmada, no hubiera sido presentada en la Agencia Española de Protección de Datos, o en alguno de los Registros y oficinas a los que se refiere el artículo 38.4 de la Ley 30/1992. pág. 140
142 c) Mediante formulario en papel con código de barras bidimensional Una vez que haya cumplimentado la hoja de solicitud para obtener el modelo que puede ser presentado en la AEPD, deberá pulsar el botón Finalizar formulario que se encuentra al final de la hoja de solicitud (Cuadro 16). En el caso de la presentación en papel, se generará el código de barras bidimensional PDF 417 (nube de puntos), así como el correspondiente código de envío que establece la correspondencia entre el contenido que figura en cada una de las páginas que componen el modelo de notificación y la nube de puntos generada. Este sistema garantizará que la notificación haya sido cumplimentada de forma correcta, y que se inscribirá en el RGPD de forma ágil, rápida y segura. Tal y como le informará la siguiente pantalla, asegúrese de que la nube de puntos aparece bien impresa y que no se relazan marcas sobre ella. En el caso de que tenga que realizar cambios en la notificación, deberá cumplimentar una nueva notificación y generar la correspóndete nube de puntos y código de envío. Una vez cumplimentada la notificación y la Hoja de solicitud de forma correcta, se imprimirá la correspondiente notificación en la que figurará el código de barras bidimensional PDF 417 (nube de puntos). Una vez firmada la hoja de solicitud por la persona que, con representación suficiente del responsable del fichero, formula la notificación, se presentará en la AEPD o en alguno de los registros y oficinas a los que se refiere el artículo 38.4 de la Ley 30/1992. d) Notificaciones Simplificadas o Notificaciones Tipo Mediante esta opción del formulario electrónico se pueden notificar de forma simplificada una serie de ficheros tales como: la gestión de comunidades de propietarios, clientes, libro recetario de las oficinas de farmacia, pacientes, gestión escolar, videovigilancia, nóminas y recursos humanos de titularidad privada, gestión del padrón, gestión económica o control de acceso, en el caso de ficheros de titularidad pública. pág. 141
143 Cuadro 20 El formulario electrónico le mostrará una notificación pre-cumplimentada en la que, además de añadir los datos específicos de su notificación, puede realizar algunos cambios. Una vez revisada la notificación, deberá firmarla y enviarla a la AEPD en cualquier de las formas de presentación establecidas. En caso que la notificación tipo prevista por la AEPD no se adapte al pág. 142