PROTECCIÓN DE DATOS 1. INTRODUCCIÓN NORMATIVA QUE SE DEBE CONOCER LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS... 8

Transcripción

1

2 El progresivo desarrollo de las técnicas de recolección y almacenamiento de datos y acceso a los mismos ha expuesto a la privacidad, a una amenaza potencial desconocida. Día a día y sin tener conciencia de ello, dejamos un rastro de los más diversos datos personales, como pueden ser sobre nuestra familia, vida académica, profesional o laboral, hábitos de vida y consumo, o incluso, sobre las creencias religiosas e ideologías, nuestro estado de cuenta, etc., que pueden ser compilados y obtenidos sin dificultad. La ley Orgánica de Protección de datos de Carácter personal (LOPD 15/1999), de 13 Diciembre nace de la necesidad de adaptar la legislación nacional a la Directiva Europea 95/46/CE, de 25 octubre de Los sectores empresariales más afectados por las actuaciones de inspección de la Agencia de Protección de Datos (en adelante APD) son las entidades bancarias y financieras, prestadoras de información de solvencia patrimonial y crédito, empresas de telecomunicación, publicidad directa, seguros, colegios profesionales, sanidad, distribución, hostelería, turismo, etc. 2

3 1. INTRODUCCIÓN QUÉ ES LA PROTECCIÓN DE DATOS? LA PROTECCIÓN DE DATOS COMO DERECHO FUNDAMENTAL EL MARCO JURÍDICO DE LA PROTECCIÓN DE DATOS NORMATIVA QUE SE DEBE CONOCER LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS CONTEXTO NATURALEZA Regulación Normativa Régimen Jurídico FUNCIONES ESTRUCTURA El Director El Consejo Consultivo El Registro General de Protección de Datos La Inspección de Datos La Secretaría General de la Agencia CONCEPTOS EL TRATAMIENTO DE LOS DATOS LOS PRINCIPIOS DE LA PROTECCIÓN DE DATOS LA CALIDAD DE LOS DATOS EL DERECHO DE INFORMACIÓN EN LA LOPD EL CONSENTIMIENTO DEL AFECTADO LOS DATOS ESPECIALMENTE PROTEGIDOS DATOS RELATIVOS A LA SALUD LA SEGURIDAD DE LOS DATOS EL DEBER DE SECRETO LA COMUNICACIÓN DE DATOS ACCESO A LOS DATOS POR CUENTA DE TERCEROS LOS DERECHOS DEL INTERESADO DERECHOS ARCO Derecho de Acceso Derecho de Rectificación Derecho de Cancelación Derecho de Oposición DERECHOS DE CARÁCTER PERSONAL Derecho de indemnización Derecho de información Derecho de impugnación de valoraciones Derecho a la consulta del Registro General Derecho de exclusión de las guías telefónicas Derecho a no recibir publicidad no deseada Derecho de abonados y usuarios de servicios de telecomunicaciones

4 Derechos de los destinatarios de servicios de comunicaciones electrónicas EL RESPONSABLE Y EL ENCARGADO DEL TRATAMIENTO AGENTES INVOLUCRADOS EN EL TRATAMIENTO DE LOS DATOS Titular del fichero Responsable del mantenimiento Encargado del mantenimiento Responsable propietario del fichero Responsable de seguridad Afectado o interesado Usuario OBLIGACIONES DEL RESPONSABLE DEL FICHERO Y DEL ENCARGADO DEL TRATAMIENTO RESPONSABLE DEL FICHERO Funciones Obligaciones ENCARGADO DEL TRATAMIENTO Funciones Obligaciones LOS PROCEDIMIENTOS LA NOTIFICACIÓN E INSCRIPCIÓN DE FICHEROS Registro General de Protección de Datos Notificación de los ficheros FORMULARIO NOTA Información que se debe aportar Cómo se rellena INFRACCIONES Y SANCIONES TIPOS DE INFRACCIONES Infracciones leves Infracciones graves Infracciones muy graves PRESCRIPCIÓN DE INFRACCIONES APLICACIÓN DE SANCIONES PRESCRIPCIÓN DE SANCIONES EL DOCUMENTO DE SEGURIDAD EN LA EMPRESA BIBLIOGRAFÍA ANEXO

5 1. INTRODUCCIÓN 1.1. QUÉ ES LA PROTECCIÓN DE DATOS? La protección de datos es una disciplina jurídica de reciente creación que tiene por objeto proteger la intimidad y demás derechos fundamentales de las personas físicas frente al riesgo que para ellos supone la recopilación y el uso indiscriminado de sus datos personales, entendiendo como tales toda aquella información que forma parte de su esfera privada y que puede ser utilizada para evaluar determinados aspectos de su personalidad (hábitos de compra, relaciones personales, etc.). Aunque la protección de datos abarca a todo tipo de tratamiento de datos de carácter personal (independientemente de que se realice de manera manual o informatizada), lo cierto es que ha sido la informática la que al permitir recoger, utilizar y transmitir fácilmente todo tipo de información ha generado la necesidad de desarrollar toda una serie de normas destinadas a limitar el uso de los datos personales para garantizar con ello el honor y la intimidad personal y familiar de los ciudadanos LA PROTECCIÓN DE DATOS COMO DERECHO FUNDAMENTAL Además de ser una disciplina jurídica concreta, la protección de datos está jurídicamente considerada por el Tribunal Constitucional como un derecho fundamental autónomo e independiente del derecho a la intimidad personal y familiar. (Sentencia 292/2000) Según dicha sentencia, el derecho fundamental a la protección de datos no sólo protege a los datos íntimos de las personas sino que amplia su ámbito de protección a cualquier tipo de dato personal, sea o no íntimo, cuyo conocimiento o empleo por terceros pueda afectar a sus derechos, sean o no fundamentales, porque su objeto no es sólo la intimidad individual, que para ello está la protección que el artículo 18.1 de la Constitución Española otorga, sino los datos de carácter personal EL MARCO JURÍDICO DE LA PROTECCIÓN DE DATOS El marco jurídico básico que configura la protección de datos de carácter personal en España está formado por las siguientes normas: Constitución. Artículo 18.4 de la Constitución Española de Ver. Directiva. Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que 5

6 respecta al tratamiento de datos personales y a la libre circulación de estos datos. Ver Ley Orgánica. Ley Orgánica 15/1999 de 13 de diciembre de protección de datos de carácter personal. Ver. Reglamento. Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre de protección de datos de carácter personal. Ver. Instrucciones de la Agencia Española de Protección de Datos. Una de las funciones de la Agencia es dictar las instrucciones precisas para adecuar los tratamientos a los principios de la Ley Orgánica de Protección de Datos. Se puede acceder a dichas instrucciones a través del canal de documentación/legislación, de la página web de la Agencia. Ver. 6

7 2. NORMATIVA QUE SE DEBE CONOCER La normativa que se debe conocer en materia de protección de datos se encuentra recogida en la página web de la Agencia Española de Protección de Datos, ésta contiene documentos relacionados con las áreas o materias relacionadas a continuación: Memorias anuales de actuaciones de la Agencia Española de Protección de Datos. Legislación Nacional e Internacional relacionada con la protección de datos. Resoluciones del Director de la Agencia de Española de Protección de Datos en el desarrollo de las funciones inspectoras y autorización de transferencias internacionales de datos. Sentencias de diversas instancias judiciales, tanto a nivel nacional como de la Unión Europea. Recomendaciones adoptadas por el Director de la Agencia con objeto de adecuar el funcionamiento de ciertos sectores de actividad a la normativa española de protección de datos. Informes jurídicos emitidos para cumplir con el objetivo de la Agencia Española de Protección de Datos de atender a todas las cuestiones que se plantean relacionadas con el derecho a la protección de datos. Códigos Tipo inscritos en la Agencia Española de Protección de Datos. Lucha contra el SPAM. Convenios y protocolos firmados con distintos ámbitos sectoriales, otras autoridades y universidades. Congresos, conferencias y grupos de trabajo y cooperación a nivel internacional en los que participa la Agencia Española de Protección de Datos. 7

8 3. LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS 3.1. CONTEXTO La Agencia Española de Protección de Datos es la autoridad de control independiente que vela por el cumplimiento de la normativa sobre protección de datos y garantiza y tutela el derecho fundamental a la protección de datos de carácter personal. El art. 35 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD), establece que La Agencia Española de Protección de Datos es un ente de derecho público, con personalidad jurídica propia y plena capacidad pública y privada, que actúa con plena independencia de las Administraciones Públicas en el ejercicio de sus funciones. Por su parte el Real Decreto 428/1993, de 26 de marzo, que aprueba el Estatuto de la Agencia Española de Protección de Datos (en lo sucesivo EAEPD), completa la descripción de la naturaleza jurídica que realiza el citado art. 35 de la LOPD. La Ley 6/1997, de 14 de abril, de Organización y Funcionamiento de la Administración General del Estado, establece en su disposición adicional décima el régimen jurídico de determinados entes públicos, entre los que se encuentra la Agencia Española de Protección de Datos (en lo sucesivo AEPD). El art. 1.2 del EAEPD dispone que la Agencia actúa con plena independencia de las Administraciones Públicas en el ejercicio de sus funciones y se relaciona con el Gobierno a través del Ministerio de Justicia. Esta exigencia de independencia se recoge en la Directiva 95/46/CE del Parlamento Europeo y del Consejo, asimismo, en la Carta Europea de los Derechos Fundamentales, proclamada en Niza el 8 de diciembre de 2000, y que ha sido incorporada a la Parte II del Proyecto de Tratado por el que se instituye una Constitución para Europa, en cuyo artículo 68, dedicado a la protección de los datos de carácter personal (transcrito íntegramente en el Capítulo anterior de esta Memoria), se establece que El respeto de estas normas estará sujeto al control de una autoridad independiente. En conclusión, la AEPD es un ente de derecho público con personalidad jurídica propia y plena capacidad pública y privada, que se regula por su normativa específica, y que actúa con plena independencia de las Administraciones Públicas en el ejercicio de sus funciones y se relaciona con el Gobierno a través del Ministerio de Justicia. 8

9 3.2. NATURALEZA Ente de Derecho Público con personalidad jurídica propia y plena capacidad pública y privada. Actúa con independencia de las Administraciones Públicas en el ejercicio de sus funciones Regulación Normativa Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (Título VI con rango de ley ordinaria). Real Decreto 1720/2007 por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Real Decreto 428/1993, de 26 de marzo, por el que se aprueba el Estatuto de la Agencia Española de Protección de Datos Régimen Jurídico Régimen General / (Excluida de la LOFAGE). Ejercicio competencias / Ley 30/1992, de 26 de noviembre. Régimen Patrimonial / Derecho Privado. Contratación / Derecho Privado. Régimen Personal / Funcionarios de las Administraciones Públicas y personal contratado según la naturaleza de las funciones. Régimen Presupuestario: Presupuesto integrado, con la debida independencia, en los Presupuestos Generales del Estado. Control Externo: Tribunal Cuentas. Control Interno: IGAE FUNCIONES General: Velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación, en especial en lo relativo a los derechos de información, acceso, rectificación, oposición y cancelación de datos. 9

10 En relación con los afectados: Atender a sus peticiones y reclamaciones. Información de los derechos reconocidos en la Ley. Promover campañas de difusión a través de los medios. En relación con quienes tratan datos: Emitir autorizaciones previstas en la Ley. Requerir medidas de corrección. Ordenar, en caso de ilegalidad, el cese en el tratamiento y la cancelación de los datos. Ejercer la potestad sancionadora. Recabar ayuda e información que precise. Autorizar las transferencias internacionales de datos. En la elaboración de normas: Informar los Proyectos de normas de desarrollo de la LOPD. Informar los Proyectos de normas que incidan en materias de protección de datos. Dictar Instrucciones y recomendaciones de adecuación de los tratamientos a la LOPD. Dictar recomendaciones en materia de seguridad y control de acceso a los ficheros. En materia de telecomunicaciones: Tutelar los derechos y garantías de los abonados y usuarios en el ámbito de las comunicaciones electrónicas, incluyendo el envío de comunicaciones comerciales no solicitadas realizadas a través de correo electrónico o medios de comunicación electrónica equivalente. Otras funciones: Velar por la publicidad en los tratamientos, publicando anualmente una lista de los mismos (CD). Cooperación Internacional. Representación de España en los foros internacionales en la materia. Control y observancia de lo dispuesto en la Ley reguladora de la Función Estadística Pública. 10

11 Elaboración de una Memoria Anual, presentada por conducto del Ministro de Justicia a las Cortes. 11

12 3.4. ESTRUCTURA 12

13 El Director Director: D. José Luís Rodríguez Álvarez. Ostenta la representación de la Agencia. Sus actos se considerarán como propios de la Agencia. Nombrado por Real Decreto de entre los miembros del Consejo Consultivo a propuesta del Ministro de Justicia. Independiente y no sometido a mandato imperativo alguno. Mandato de cuatro años. Causas de cese: A petición propia. Por separación en caso de incumplimiento grave, incapacidad, incompatibilidad o comisión de delito doloso. Funciones del Director: Resoluciones (ponen fin a la vía administrativa; recurribles ante la Sala de lo Contencioso de la AN): Sobre inscripción. Sobre códigos tipo. Sobre transferencias. Tutelas de derechos. Procedimientos sancionadores. Medidas cautelares. Instando la incoación de expedientes disciplinarios. Autorizaciones de entrada en locales: - Coordinación con las autoridades. - Funciones de gestión El Consejo Consultivo Dª. Meritxell Batet Lamaña, a propuesta del Congreso de los Diputados. Dª. María Rosa Vindel López, a propuesta del Senado. D. José Luis Rodríguez Álvarez, como vocal de la Administración General del Estado. D. Santiago Abascal Conde, Director de la Agencia de Protección de Datos de la Comunidad de Madrid. 13

14 Dª. Esther Mitjans i Perelló, Directora de la Autoridad Catalana de Protección de Datos. D. Iñaki Vicuña de Nicolás, Director de la Agencia Vasca de Protección de Datos. D. Francisco Díaz Latorre, Vocal de la Administración Local, a propuesta de la Federación Española de Municipios y Provincias. D. Feliciano Barrios Pintado, a propuesta de la Real Academia de la Historia. D. Antonio Troncoso Reigada, a propuesta del Consejo de Coordinación Universitaria. D. Alejandro Perales Albert, como vocal de los consumidores y usuarios, a propuesta, en terna, del Consejo de Consumidores y Usuarios. Dª Belén Veleiro Reboredo, como vocal del sector de ficheros privados, a propuesta, en terna, del Consejo Superior de Cámaras Oficiales del Comercio, Industria y Navegación de España Órgano Colegiado de asesoramiento del Director. Emitirá informe en todas las cuestiones que le solicite el Director. Formulará propuestas en materia de protección de datos. Se reunirá al menos una vez cada seis meses. El Director será elegido de entre sus miembros El Registro General de Protección de Datos Subdirector General del Registro General de Protección de Datos: D. Julián Prieto Hergueta. Función: Velar por la publicidad de los tratamientos de datos. Expedientes que tramita: Inscripción de tratamientos notificados. Autorización de transferencias internacionales de datos. Inscripción de Códigos Tipo. Tratamientos inscribibles: Ficheros Públicos: - Administración del Estado. - Administración de las CC.AA. - Administración Local. 14

15 - Entidades vinculadas o dependientes de esas Administraciones. - Administración corporativa en el desempeño de potestades de derecho público. Ficheros Privados. Contenido de las inscripciones: Responsable del fichero, ubicación y existencia de encargados del tratamiento. Finalidad y usos. Afectados. Procedimiento de recogida. Estructura del fichero y tipo de datos que contiene. Cesiones y transferencias, indicando destinatarios. Medidas de seguridad. Forma de ejercicio por los afectados de sus derechos. Si el fichero es de titularidad pública, debe aprobarse una disposición general en que se haga mención a estos extremos. Procedimiento Notificación del tratamiento al RGPD (previo a iniciar la recogida de los datos): Si hubiera que subsanar algún defecto: solicitud de subsanación en 10 días. Si se aclara o no hizo falta subsanación, se inscribe el tratamiento. Si no se ha aclarado suficientemente, se deniega la inscripción. Si no se dice nada en 30 días desde la remisión (sin contar el plazo de subsanación), el fichero se considerará inscrito (silencio positivo). Efectos de la inscripción: la inscripción es necesaria para que el tratamiento sea lícito, pero la inscripción es meramente declarativa. No inscribir es contrario a la LOPD. Estar inscrito no implica una presunción de que el tratamiento es totalmente conforme a la Ley La Inspección de Datos Subdirector General de Inspección de Datos: D. José López Calvo. Función: 15

16 Comprobación de la legalidad de los tratamientos. Organización: Inspectores de datos. Instrucción de procedimientos. - Tutelas de derechos. - Procedimientos sancionadores. - Procedimientos de infracción por las Administraciones Públicas. Funciones inspectoras: Naturaleza de autoridad pública. Deber de secreto de los inspectores. Posibles actuaciones: - Examen de soportes. - Examen de equipos. - Análisis de programas. - Examen de los sistemas de transmisión. - Auditoría informática. - Requerimiento de información. Potestades de entrada en locales. Supuestos de actuación: - Ante una denuncia de un afectado o en supuestos de alarma social. - Dentro de un plan de inspección de oficio. Planes de Oficio Finalidad preventiva: - Sólo se imponen sanciones en casos de extrema gravedad. - Tiene por objeto conocer el modo en que se realizan los tratamientos por parte de un sector. - Concluye con la preparación de unas 'recomendaciones' en que se detectan los problemas. Instrucción de procedimientos. Tutela de derechos: Presupuesto: - Ejercicio por el afectado de sus derechos de acceso, rectificación, cancelación y oposición. 16

17 - Denegación de este derecho por el responsable del Fichero. Procedimiento: - Reclamación por escrito a la APD. - La APD requiere alegaciones al responsable en plazo de 15 días. - Práctica de pruebas o inspección. - Audiencia del responsable y el afectado. - Resolución. - Plazo máximo de tramitación: 6 meses. Silencio positivo. Instrucción de procedimientos. Procedimiento sancionador: Causa de iniciación: - Denuncia de un afectado. - Conocimiento de un hecho presuntamente ilícito (por ejemplo, por los medios de comunicación o denuncia de un tercero). Procedimiento. Establecido por las normas generales de derecho administrativo (RD 1398/1993, de 4 de agosto, en desarrollo Título VI Ley 30/1992): Medidas cautelares específicas: - En caso de hechos tipificados como infracción muy grave de utilización o cesión ilícita. - Perjuicio para los derechos de los ciudadanos y el libre desarrollo de la personalidad. - Podrá requerirse el cese en el tratamiento. - Si no se atiende, podrán inmovilizarse los ficheros. - Instrucción de procedimientos. Procedimiento sancionador. Contenido de la resolución sancionadora: - Ficheros de titularidad privada. - Multa económica (criterios de cuantificación y atenuación previstos en la Ley). - Medidas complementarias. Ficheros de titularidad pública: - Declaración de la infracción. - Imposición de medidas correctoras. 17

18 - Solicitud de medidas disciplinarias para el responsable de la actuación ilícita. - Notificación de la resolución al Defensor del Pueblo La Secretaría General de la Agencia Subdirectora General. Secretaria General:Dª. María José Blanco Antón Misión: Apoyo al adecuado funcionamiento de la Agencia. Funciones: De apoyo. De gestión, por Delegación del Director. Otras complementarias: - Fondo de documentación. - Edición de repertorios, Memoria y publicaciones. - Preparación de conferencias... Atención al ciudadano en las cuestiones que plantee, relacionadas con la protección de datos. 18

19 4. CONCEPTOS A DESTACAR EN LA LOPD Y EN EL REGLAMENTO Afectado o interesado: persona física titular de los datos que sean objeto del tratamiento. usuario. Autenticación: procedimiento de comprobación de la identidad de un Bloqueo: la identificación y reserva de datos de carácter personal con el fin de impedir su tratamiento excepto por parte de las Administraciones públicas, Jueces y Tribunales para la atención de las posibles responsabilidades nacidas del tratamiento y sólo durante el plazo de prescripción de dichas responsabilidades. Cancelación: procedimiento en virtud del cual el responsable cesa en el uso de los datos. La cancelación implicará el bloqueo de los datos, consistente en la identificación y reserva de los mismos con el fin de impedir su tratamiento excepto para su puesta a disposición de las Administraciones públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento y sólo durante el plazo de prescripción de dichas responsabilidades. Transcurrido ese plazo deberá procederse a la supresión de los datos. Cesión o comunicación de datos: tratamiento de datos que supone su revelación a una persona distinta del interesado. Clave Personal de Acceso (PIN): secuencia de caracteres que permiten el acceso a los certificados. Clave Pública y Clave Privada: la criptografía asimétrica en la que se basa la PKI emplea un par de claves en la que lo que se cifra con una de ellas sólo se puede descifrar con la otra y viceversa. A una de esas claves se la denomina pública y se la incluye en el certificado electrónico, mientras que a la otra se la denomina privada y únicamente es conocida por el titular del certificado. Consentimiento del interesado: toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen. Copia de respaldo: copia de los datos de un fichero automatizado en un soporte que posibilite su recuperación. Dato disociado: aquél que no permite la identificación de un afectado o interesado. 19

20 Datos de carácter personal: cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables. Datos de carácter personal relacionados con la salud: las informaciones concernientes a la salud pasada, presente y futura, física o mental, de un individuo. En particular, se consideran datos relacionados con la salud de las personas los referidos a su porcentaje de discapacidad y a su información genética. Destinatario o cesionario: la persona física o jurídica, pública o privada u órgano administrativo, al que se revelen los datos. En el caso de entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados, se considerará destinatario a la persona o personas integrantes de los mismos. Dispositivo seguro de creación de Firma: instrumento que sirve para aplicar los datos de creación de firma cumpliendo con los requisitos que establece el artículo 24.3 de la Ley 59/2003, de 19 de diciembre, de Firma Electrónica. DNI electrónico: es el documento que acredita física y digitalmente la identidad personal de su titular y permite la firma electrónica de documentos. Documento electrónico: conjunto de registros lógicos almacenado en soporte susceptible de ser leído por equipos electrónicos de procesamiento de datos, que contiene información. Encargado del tratamiento: la persona física o jurídica, pública o privada, u órgano administrativo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio. En el caso de entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados, se considerará encargado del tratamiento a la persona o personas integrantes de los mismos. Exportador de datos personales: la persona física o jurídica, pública o privada, u órgano administrativo situado en territorio español y responsable del tratamiento de los datos de carácter personal que son objeto de transferencia internacional a un país tercero. Fichero: todo conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso. Fichero no automatizado: todo conjunto de datos de carácter personal organizado de forma no automatizada y estructurado conforme a criterios específicos 20

21 relativos a personas físicas, que permitan acceder sin esfuerzos desproporcionados a sus datos personales, ya sea aquél centralizado, descentralizado o repartido de forma funcional o geográfica. Ficheros de titularidad privada: los ficheros de los que sean responsables las entidades sometidas al derecho privado, no vinculados en ningún caso con el ejercicio de potestades de derecho público, incluyendo aquellos de los que sean responsables las fundaciones no sanitarias del sector público, las sociedades del sector público empresarial del Estado, la Comunidad Autónoma, la Provincia o el Municipio, con independencia de su estructura accionarial, y las Corporaciones de Derecho público, en cuanto dichos ficheros no se encuentren estrictamente vinculados al ejercicio de las potestades de derecho público que a las mismas atribuye su normativa específica. Ficheros de titularidad pública: los ficheros de los que sean responsables los Órganos constitucionales o con relevancia constitucional del Estado o las Instituciones Autonómicas con funciones análogas a las mismas, las Administraciones Públicas Territoriales, las entidades u organismos dependientes de las mismas con personalidad jurídico pública y sometidas al derecho administrativo y las Corporaciones de derecho público, exclusivamente en cuanto dichos ficheros se encuentren estrictamente vinculados al ejercicio de las potestades de derecho público que a las mismas atribuye su normativa específica. Ficheros temporales: ficheros de trabajo creados por usuarios o procesos que son necesarios para un tratamiento ocasional o como paso intermedio durante la realización de un tratamiento. Firma electrónica: es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación personal. Firma electrónica avanzada: es aquella firma electrónica que permite establecer la identidad personal del suscriptor respecto de los datos firmados y comprobar la integridad de los mismos, por estar vinculada de manera exclusiva tanto al suscriptor, como a los datos a que se refiere, y por haber sido creada por medios que mantiene bajo su exclusivo control. Firma electrónica reconocida: es aquella firma electrónica avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma. Fuentes accesibles al público: a los efectos de la LOPD se consideran fuentes accesibles al público aquellos ficheros cuya consulta puede ser realizada por cualquier persona, no impedida por una norma limitativa, o sin más exigencia que, en su caso, el abono de una contraprestación. Tienen la consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en 21

22 los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público, los Diarios y Boletines oficiales y los medios de comunicación. Función hash: es una operación que se realiza sobre un conjunto de datos de cualquier tamaño, de forma que el resultado obtenido es otro conjunto de datos de tamaño fijo, independientemente del tamaño original, y que tiene la propiedad de estar asociado unívocamente a los datos iniciales, es decir, es imposible encontrar dos mensajes distintos que generen el mismo resultado al aplicar la Función hash. Hash o Huella digital: resultado de tamaño fijo que se obtiene tras aplicar una función hash a un mensaje y que cumple la propiedad de estar asociado unívocamente a los datos iniciales. usuario. Identificación: procedimiento de reconocimiento de la identidad de un Importador de datos personales: la persona física o jurídica, pública o privada, u órgano administrativo receptor de los datos en caso de transferencia internacional de los mismos a un tercer país, ya sea responsable del tratamiento, encargada del tratamiento o tercero. Listas de Revocación de Certificados o Listas de Certificados Revocados: lista donde figuran exclusivamente las relaciones de certificados revocados o suspendidos (no los caducados). Persona identificable: toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social. Una persona física no se considerará identificable si dicha identificación requiere plazos o actividades desproporcionados. Prestador de Servicios de Certificación: persona física o jurídica que expide certificados electrónicos o presta otros servicios en relación con la firma electrónica. Procedimiento de disociación: todo tratamiento de datos personales que permita la obtención de datos disociados. Responsable del fichero o del tratamiento: persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente. En el caso de entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados, se considerará responsable del tratamiento a la persona o personas integrantes de los mismos. 22

23 Responsable de seguridad: persona o personas a las que el responsable del fichero ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables. Sistema de información: conjunto de ficheros, tratamientos, programas, soportes y en su caso, equipos empleados para el tratamiento de datos de carácter personal. Sistema de tratamiento: modo en que se organiza o utiliza un sistema de información. Atendiendo al sistema de tratamiento, los sistemas de información podrán ser automatizados, no automatizados o parcialmente automatizados. Soporte: objeto físico que almacena o contiene datos, u objeto susceptible de ser tratado en un sistema de información y sobre el cual se pueden grabar y recuperar datos. Supresión: la eliminación física de los datos de carácter personal bloqueados una vez cumplido el plazo de prescripción de las posibles responsabilidades nacidas del tratamiento durante el cual se guardaron bloqueados. Tercero: la persona física o jurídica, pública o privada u órgano administrativo distinta del afectado o interesado, del responsable del tratamiento, del responsable del fichero, del encargado del tratamiento y de las personas autorizadas para tratar los datos bajo la autoridad directa del responsable del tratamiento o del encargado del tratamiento. En el caso de entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados, se considerará tercero a la persona o personas integrantes de los mismos. Transferencia internacional de datos a países terceros: tratamiento de datos que supone una transmisión de los mismos fuera del territorio del Espacio Económico Europeo, bien constituya una cesión o comunicación de datos, bien tenga por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero establecido en territorio español. Transmisión de documentos: cualquier traslado, comunicación, envío, entrega o divulgación de la información contenida en el mismo. Tratamiento de datos: cualquier operación o procedimiento técnico, sea o no automatizado, que implique la recogida, grabación, conservación, elaboración, modificación, consulta, utilización, bloqueo, modificación, o cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias. 23

24 5. EL TRATAMIENTO DE LOS DATOS La Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD) es la norma jurídica que regula en España como se debe llevar a cabo el tratamiento de los datos de carácter personal para no perjudicar con ello la intimidad y demás derechos fundamentales de los ciudadanos, pero qué es un tratamiento de datos de carácter personal? Para comprender el alcance de este concepto tenemos que acudir a las definiciones legales contenidas en la LOPD y en su reglamento: Definición LOPD: el artículo 3.c de la Ley Orgánica de Protección de datos define el tratamiento de datos personales como operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias. Definición del Reglamento de la LOPD: el artículo 5.1 letra t del reglamento que desarrolla la LOPD (el Real Decreto 1720/2007) complementa la definición dada por la LOPD estableciendo que el tratamiento de datos es cualquier operación o procedimiento técnico, sea o no automatizado, que permita la recogida, grabación, conversación, elaboración, modificación, consulta, utilización, modificación, cancelación, bloqueo o supresión, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias. Todo tratamiento de datos personales comienza con su recogida. Ésta puede realizarse de muy diversas formas: Verbalmente. Por ejemplo en la contratación telefónica o cuando nos damos de alta en el sistema de facturación de un comercio. Por escrito. Cuando rellenamos impresos de admisión o de alta. Usando formularios online. Cuando nos damos de alta en una red social. Mediante la captación de nuestras imágenes por las cámaras de vigilancia de un supermercado. En todos estos casos, quien recoge los datos, llamado responsable del fichero o tratamiento, debe cumplir con dos obligaciones básicas: Informarnos. Solicitar nuestro consentimiento. 24

25 El responsable de un fichero o tratamiento es la entidad, persona o el órgano administrativo que decide sobre la finalidad, el contenido y el uso del tratamiento de los datos personales. Así, una empresa será la responsable de los ficheros que contienen datos relativos a sus empleados y a sus clientes; un autónomo o empresario individual será responsable del tratamiento de los datos personales de sus clientes, etc 25

26 6. LOS PRINCIPIOS DE LA PROTECCIÓN DE DATOS Los principios de la protección de datos son las condiciones generales bajo las cuales el responsable del fichero debe recoger, tratar y ceder los datos de carácter personal de las personas físicas para garantizar la intimidad y demás derechos fundamentales del titular de los datos. Dichos principios se encuentran regulados en el Título II de la Ley Orgánica de Protección de Datos (LOPD) y son los siguientes: 6.1. LA CALIDAD DE LOS DATOS La calidad de los datos es uno de los nueve principios a través de los cuales el Título II de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD) establece las condiciones en que se deben recoger, tratar y ceder los datos de carácter personal para salvaguardar la intimidad y demás derechos fundamentales de los ciudadanos. A través de este principio la ley establece un conjunto de reglas que indican al responsable del fichero como debe recoger, almacenar y utilizar los datos de carácter personal para que el tratamiento de los datos pueda ser considerado leal y lícito. A través de dichas reglas, el artículo 4 de la LOPD establece como se deben recoger los datos, qué datos se pueden recoger, cómo se deben utilizar, cómo deben mantenerse actualizados, cómo deben ser almacenados y cuál es el procedimiento para cancelarlos y eliminarlos definitivamente de los ficheros. Regulación legal El principio de calidad de los datos se encuentra regulado en el artículo 4 de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal y en los artículos 8 a 11 del Reglamento que la desarrolla, el Real Decreto 1720/2007. Contenido del principio de calidad de los datos Para cumplir con el principio de calidad de los datos, el responsable del fichero debe recoger y tratar los datos de carácter personal aplicando todas y cada una de las reglas obtenidas en el artículo 4 de la Ley orgánica de Protección de Datos (LOPD), dichas reglas son las siguientes: Forma de obtener los datos. El principio de calidad de los datos obliga al responsable del fichero a recoger los datos de carácter personal con total transparencia para el ciudadano, sin utilizar medios fraudulentos, desleales o ilícitos. 26

27 Finalidad del tratamiento. El principio de calidad de los datos impide que el responsable del fichero pueda recoger los datos de carácter personal de los ciudadanos para hacer con ellos lo que le parezca, los datos deben recogerse con una finalidad determinada, explícita y legítima que debe formar parte del objeto de la empresa que se trate. Proporcionalidad de los datos. El principio de calidad de los datos impide que el responsable del fichero recoja cuantos datos de carácter personal le venga en gana, estableciendo que sólo se recogerán para su tratamiento aquellos datos que sean adecuados, pertinentes y no excesivos en relación a la finalidad determinada, explícita y legítima que motiva su recogida. Uso de los datos. El principio de calidad de los datos establece que los datos de carácter personal no podrán utilizarse para finalidades incompatibles con aquellas para las que hubieran sido recogidos. Exactitud de los datos. El principio de calidad de los datos impone al responsable del fichero la obligación de mantener los datos de carácter personal actualizados y puestos al día de manera que reflejen la situación real de su titular. Cancelación de los datos. El principio de calidad de los datos establece que los datos de carácter personal no serán conservados en los ficheros en forma que permita la identificación del interesado durante un período superior al necesario para los fines en base a los cuales hubieran sido recabados o registrados. Sin embargo, una vez finalizado el motivo por el cual se recogieron los datos, estos no serán eliminados directamente del fichero, si no que se mantendrán bloqueados de manera que sólo puedan acceder a ellos las administraciones públicas, los jueces o los tribunales para gestionar las posibles responsabilidades nacidas durante el tratamiento de los datos. Una vez finalizados los plazos de prescripción de dichas responsabilidades, los datos de carácter personal serán eliminados definitivamente de los ficheros. Almacenamiento de los datos. El principio de calidad de los datos establece que los datos deben ser almacenados de manera que su titular pueda ejercer el derecho de acceso y pueda conocer en cualquier momento que datos suyos están sometidos a tratamiento y cual es el uso que se está dando a dichos datos. Esto supone que el responsable del fichero debe establecer un procedimiento de almacenamiento que permita acceder a los datos sin complicaciones y permita ejercitar el derecho de acceso en el plazo de un mes desde la recepción de la solicitud del interesado. 27

28 6.2. EL DERECHO DE INFORMACIÓN EN LA LOPD El derecho de información en la recogida de datos es uno de los nueve principios a través de los cuales la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD) establece las condiciones en que se deben recoger, tratar y ceder los datos de carácter personal para salvaguardar la intimidad y demás derechos fundamentales de los ciudadanos. A través del derecho de información en la recogida de datos, la Ley Orgánica de Protección de Datos establece a la vez un derecho para el ciudadano y un deber para el responsable del fichero; por un lado el ciudadano tiene derecho a saber quién recoge sus datos, para qué los recoge, quién va a ser el destinatario de su información, cuáles son los derechos que le asisten y a dónde se tiene que dirigir para poder ejercerlos, y por otro lado, el responsable del fichero tiene la obligación de informarle de ello en los términos regulados en el artículo 5 de la LOPD, el cual establece unas condiciones diferentes en función de si los datos se han obtenido directamente de su titular o si proceden de otras fuentes. Regulación legal El derecho de información en la recogida de datos se encuentra regulado en el artículo 5 de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal y en los artículos 18 y 19 del Reglamento que la desarrolla, el Real Decreto 1720/2007. Datos obtenidos de su titular 1. Cumplimiento del deber de información. Tal y como establece el artículo 5.1 de la LOPD, cuando los datos de carácter personal se soliciten directamente a su titular, el responsable del fichero (o su representante en España) cumplirá con su deber de información si informa al interesado previamente y de manera expresa, precisa e inequívoca de los siguientes extremos: a. De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de estos y de los destinatarios de la información. b. Del carácter obligatorio o facultativo de sus respuestas a las preguntas que les sean planteadas. c. De las consecuencias de la obtención de los datos o de la negativa a suministrarlos. d. De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición. e. De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante. 28

29 2. Uso de cuestionarios e impresos. Tal y como establece el artículo 5.2 de la LOPD, cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior. 3. Excepción. Tal y como establece el artículo 5.3 de la LOPD no será necesaria la información a que se refieren las letras b, c y d del apartado 1 si el contenido de ella se deduce claramente de la naturaleza de los datos personales que se solicitan o de las circunstancias en que se recaban. Datos no obtenidos de su titular 1. Cumplimiento del deber de información. Tal y como establece el artículo 5.4, cuando los datos de carácter personal no hayan sido recabados del interesado, éste deberá ser de forma expresa, precisa e inequívoca, por el responsable del fichero o su representante, dentro de los tres meses siguientes al momento del registro de los datos, salvo que ya hubiera sido informado con anterioridad, del contenido del tratamiento, de la procedencia de los datos, así como de los previsto en las letras a, d y e del apartado 1 del presente artículo. Lo que significa que cuando los datos de carácter personal no se hayan obtenido del titular de los datos, se le informará dentro de los tres meses siguientes al momento del registro de los datos (de forma expresa, precisa e inequívoca) de los siguientes extremos: Del contenido del tratamiento. De la procedencia de los datos. De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de estos y de los destinatarios de la información. De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición. De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante. 2. Excepciones al deber de información cuando los datos no procedan de su titular. Tal y como establece el artículo 5.5 de la LOPD, cuando los datos no se recojan directamente de si titular no va a ser necesario informarle de los extremos mencionados en el artículo 5.4 en los siguientes supuestos; cuando expresamente una ley lo prevea, cuando el tratamiento tenga fines históricos, estadísticos o científicos, o cuando la información al interesado resulte imposible o exija esfuerzos desproporcionados, a criterio de la Agencia española de Protección de Datos o del organismo autonómico 29

30 equivalente, en consideración al número de interesados, a la antigüedad de los datos y a las posibles medidas compensatorias. 3. Cumplimiento del deber de información cuando los datos procedan de fuentes accesibles al público y se destinen a la actividad de publicidad o prospección comercial. Tal y como establece el segundo párrafo del artículo 5.5 de la LOPD, cuando los datos de carácter personal se obtengan a través de una de las fuentes que la ley considera como fuentes accesibles al público (censo promocional, repertorios telefónicos, listados de colegios profesionales, diarios y boletines oficiales o medios de comunicación) y se destinen a la actividad de publicidad o prospección comercial el responsable del fichero cumplirá con su deber de información si en cada comunicación que dirija al titular de los datos se le informa de los siguientes extremos: del origen de los datos, de la identidad del responsable del tratamiento y de los derechos que le asisten. Prueba del cumplimiento del deber de información A la hora de demostrar que se ha informado debidamente al titular de los datos, la carga de la prueba recae sobre el responsable del fichero, por lo que el deber de información deberá llevarse a cabo a través de un medio que permita acreditar su cumplimiento, debiendo conservarse mientras persista el tratamiento de los datos del afectado (artículo 18 del Real Decreto 1720/2007). Almacenamiento de los soportes que sirven de prueba. Tal y como establece el artículo 18.2 del Real Decreto 1720/2007 a la hora de almacenar los soportes que sirvan de prueba al cumplimiento del deber de información, el responsable del fichero o tratamiento podrá utilizar medios informáticos o telemáticos, en particular podrá proceder al escaneado de la documentación en soporte papel, siempre cuando se garantice que en dicha automatización no ha mediado alteración alguna de los soportes originales EL CONSENTIMIENTO DEL AFECTADO El consentimiento del afectado es uno de los nueve principios a través de los cuales el Título II de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD) establece las condiciones en que se deben recoger, tratar y ceder los datos de carácter personal para salvaguardar la intimidad y demás derechos fundamentales de los ciudadanos. La LOPD define el consentimiento del afectado como toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen (artículo 3.h), y establece como condición general que el tratamiento de los datos de carácter 30

31 personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa (artículo 6.1). Por lo tanto, en aplicación de ambos artículos, podemos decir que el responsable del fichero solamente podrá tratar los datos de carácter personal de las personas físicas si se da alguna de las siguientes circunstancias: Si dispone del consentimiento del titular de los datos y éste ha sido obtenido adecuadamente (manifestación de voluntad, libre, inequívoca, específica e informada). Si está amparado por una ley que, de manera excepcional, le autorice a tratar los datos sin necesidad de contar con el consentimiento del afectado. Regulación legal del consentimiento Básicamente, el consentimiento del afectado se encuentra regulado en las siguientes normas jurídicas: Ley Orgánica de protección de datos. Artículo 3.h y artículo 6 de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD). Reglamento LOPD. Artículos 12 a 17 del Reglamento que desarrolla la LOPD (Real Decreto 1720/2007). Requisitos de validez del consentimiento Para que el consentimiento del afectado sea legalmente válido tiene que haber sido prestado a través de una manifestación de voluntad libre, inequívoca, específica e informada, características que tal y como establece la Agencia Española de Protección de Datos, deben interpretarse de la siguiente manera: El consentimiento debe ser libre. El consentimiento del afectado deberá haber sido obtenido sin la intervención de vicio alguno del consentimiento en los términos regulados por el Código Civil, (según el cual será nulo el consentimiento prestado por error, violencia, intimidación o fraude). El consentimiento debe ser inequívoco. No resulta admisible deducir el consentimiento de los meros actos realizados por el afectado (consentimiento presunto), siendo preciso que exista expresamente una acción (consentimiento expreso) u omisión (consentimiento tácito) que implique la existencia del consentimiento. El consentimiento debe ser específico. El consentimiento debe prestarse referido a una determinada operación de tratamiento y para una finalidad determinada, explícita y legítima del responsable del tratamiento, tal y como impone el artículo 4.2 de la Ley Orgánica 15/1999. El consentimiento debe ser informado. Para que el consentimiento sea válido es preciso que el afectado conozca con anterioridad al tratamiento la 31