Protección de datos en la prestación de servicios sociales

Transcripción

1 OPINIÓN Actualidad Protección de datos en la prestación de servicios sociales María ARIAS POU Abogado Especialista en Protección de Datos, ARIAS POU Abogados TIC Cuando nos enfrentamos a la aplicación de la normativa sobre protección de datos de carácter personal en un ámbito tan sensible como la prestación de servicios sociales, son muchas las dudas que nos asaltan y los miedos que nos inundan, trataremos de arrojar un poco de luz sobre este tema siguiendo las Recomendaciones dictadas en la materia por la Agencia de Protección de Datos de la Comunidad de Madrid. I. INTRODUCCIÓN SUMARIO Cuando está a punto de cumplirse un año I. Introducción de la aprobación de la última Recomendación de la Agencia de Protección de Datos II. Conceptos básicos III. Principales cuestiones a tener en de la Comunidad de Madrid, APDCM, en cuenta materia de servicios sociales, la Recomendación 1/2008, de 14 de abril, de la Agencia IV. Conclusión de Protección de Datos de la Comunidad de Madrid, sobre el Tratamiento de datos personales en los Servicios Sociales de la Administración de la Comunidad de Madrid y en los Servicios Sociales de los Entes Locales de la Comunidad de Madrid 1, queremos aprovechar estas líneas para repasar a grandes rasgos la aplicación de la normativa sobre protección de datos de carácter personal al ámbito de la prestación de los servicios sociales. Sin perjuicio de que el ámbito de aplicación de esta Recomendación se limite a las entidades públicas que forman parte de la Administración de la Comunidad de Madrid, sí nos parece muy 1 Publicada en el BOCM núm. 108 de 7 mayo Rev. 5/2009 El Consultor de los Ayuntamientos ElConsultor-5.indb /03/ :46:43

2 Actualidad OPINIÓN interesante ayudarnos de la experiencia práctica 2 que ésta recoge, para repasar las principales obligaciones que derivan de la normativa sobre protección de datos para las entidades responsables de la prestación de los servicios sociales. En muchos casos, estas entidades responsables nos llevan al ámbito local, así, el art k) de la Ley Reguladora de las Bases del Régimen Local 3 atribuye al Municipio competencias en materia de «prestación de los servicios sociales y de promoción y reinserción social». De esta forma, los Ayuntamientos y otras Entidades Locales como las Mancomunidades, desarrollan la prestación de estos servicios a través de Comisiones de apoyo familiar, programas de integración social de adolescentes, programas de mediación familiar, atención de las personas sin hogar, la gestión de la renta mínima de inserción, la información al inmigrante, las problemáticas de maltrato infantil, los puntos de encuentro, ayudas a domicilio y teleasistencia, ayuda a mujeres maltratadas, etc. 4 Al abordar este tema de la protección de datos en el ámbito de los servicios sociales, entendemos necesario detener un momento la atención en analizar algunos conceptos, básicos en la materia, para poder así comprender mejor algunas de las principales dificultades que la aplicación de esta normativa encuentra en este ámbito. A continuación, repasaremos las principales obligaciones en la materia tratando de destacar aquellos aspectos que resultan especialmente complejos o relevantes. En este sentido y estando próximo el cumplimiento del plazo transitorio 5 que el Reglamento 6 de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal 7, estableció para la adecuación a sus exigencias en materia de medidas de seguridad, haremos especial hincapié en el cumplimiento de la obligación de garantizar la seguridad de los datos tratados. II. CONCEPTOS BÁSICOS En primer lugar, y para analizar algunos de los principales conceptos en materia de protección de datos, comenzaremos por el principio y haremos referencia al objeto de la protección de datos, esto es, al concepto de dato de carácter personal. Dato de carácter personal La LOPD lo define en su art. 3 a) como «cualquier información concerniente a personas físicas identificadas o identificables». Por su parte, el Reglamento de desarrollo de la LOPD lo define, en su art. 5.1.f) como: «Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables». 2 La citada Recomendación fue resultado de un Plan Sectorial de Oficio es resultado de un Plan Sectorial de Oficio llevado a cabo por la Agencia de Protección de Datos de la Comunidad de Madrid el «Plan de Inspección de Servicios Sociales 2007», aprobado el 1 de marzo de 2007 con el objetivo de inspeccionar a responsables de ficheros de los Servicios Sociales de la Comunidad de Madrid, incluyendo tanto a organismos públicos de la Comunidad de Madrid cuya función es la prestación de servicios sociales como a organismos de los Entes Locales de la Comunidad de Madrid que también ejercen tal función. 3 Ley 7/1985, de 2 de abril, Reguladora de las Bases del Régimen Local (BOE núm. 80 de 3 de abril). 4 En el caso de que se trate de una competencia de la Comunidad Autónoma pero ejercida por los Ayuntamientos a través de una encomienda de gestión, es el Ayuntamiento el que debe asumir la responsabilidad del fichero y la aprobación de correspondiente la disposición de carácter general. 5 Plazo establecido por la Disposición transitoria segunda del Reglamento. 6 Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (BOE núm. 17, de 19 de enero de 2008). En adelante también RDLOPD. 7 Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (BOE núm. 234 de 14 de diciembre) (LA LEY 4633/1999). El Consultor de los Ayuntamientos Rev. 5/ ElConsultor-5.indb /03/ :46:43

3 OPINIÓN Actualidad Los datos de carácter personal son el objeto de protección de la materia que analizamos y lo que debe quedar claro es que tendrá esta consideración toda información que, bien identifique directamente al interesado, bien lo haga identificable, pongamos por caso el número de la historia social de una persona que recibe alguna prestación social. En este sentido, la normativa sobre protección de datos prevé que los datos pueden estar disociados, esto es, sometidos a un tratamiento de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable. Este es un supuesto muy frecuente en el ámbito de los servicios sociales, la información disociada 8 puede ser tratada sin necesidad de observar las reglas establecidas en la normativa sobre protección de datos, porque los datos no nos permiten identificar a sus titulares. Pensemos en la evaluación estadística de un determinado servicio social, por ejemplo. Datos especialmente protegidos Dentro de los datos de carácter personal, la normativa sobre protección de datos diferencia un conjunto de datos, a los que denomina «especialmente protegidos», que tienen bastante implicación en materia de servicios sociales. La LOPD les dedica el art. 7, del que podemos deducir que son los datos de carácter personal que revelen la ideología, afiliación sindical, religión y creencias y los datos que hagan referencia al origen El Reglamento de desarrollo de la LOPD define dato de carácter personal como: «Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables» racial, a la salud y a la vida sexual. A este respecto, el RDLOPD introduce como novedad una definición de los datos de carácter personal relacionados con la salud y se refiere a ellos como: «Las informaciones concernientes a la salud pasada, presente y futura, física o mental, de un individuo. En particular, se consideran datos relacionados con la salud de las personas los referidos a su porcentaje de discapacidad y a su información genética». Estos datos especialmente protegidos, como decimos, son tratados con mucha frecuencia en la prestación de los servicios sociales. En ocasiones, la prestación de estos servicios y la prestación de servicios sanitarios van unidas y se entremezclan, y en muchos casos, la prestación de un servicio social exige conocer datos de salud, de vida sexual o de origen racial, por ejemplo, para su desarrollo. Por estos motivos, resulta especialmente relevante conocer su existencia y las reglas especiales para su correcto tratamiento a las que luego haremos referencia. Tratamiento de datos y ficheros Visto el objeto de protección, señalar que los datos de carácter personal son protegidos cuando son objeto de tratamiento, esto es, cuando se realizan sobre ellos «operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias». 9 Siempre que formen parte de un fichero o «conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso» 10. Los ficheros pueden ser automatizados o manuales y el RDLOPD define 11 estos últimos como «todo conjunto de datos de carácter personal organizado de forma no automatizada y estructurado 8 El artículo 5.1. e) del RDLOPD define dato disociado como «aquél que no permite la identificación de un afectado o interesado». 9 Art. 3.c) de la LOPD. 10 Art. 3.b) de la LOPD. 11 Artículo 5.1. n) del RDLOPD. 688 Rev. 5/2009 El Consultor de los Ayuntamientos ElConsultor-5.indb /03/ :46:43

4 Actualidad OPINIÓN conforme a criterios específicos relativos a personas físicas, que permitan acceder sin esfuerzos desproporcionados a sus datos personales, ya sea aquél centralizado, descentralizado o repartido de forma funcional o geográfica». La inclusión de un desarrollo normativo referente a cómo tratar los ficheros de datos no automatizados o manuales, ha sido uno de los grandes retos del RDLOPD y en ámbitos, como el de los servicios sociales, era muy necesario dada la cantidad de soporte papel que se maneja en el tratamiento de los datos de carácter personal. Muestra de ello es la Recomendación que la APDCM aprobó en el año 2005, referente a la historia social no informatizada 12, que perseguía, entre otros, el objetivo de proporcionar a los responsables de los ficheros de datos del ámbito de los servicios sociales las pautas necesarias para poder tratar los datos en soporte papel con las garantías de protección necesarias. Sujetos implicados: titular de los datos, responsable del fichero y encargado del tratamiento Visto el objeto, haremos una breve referencia a los sujetos implicados en esta problemática que son, de un lado, los titulares de los datos, y de otro lado, los responsables de su tratamiento. El art. 3 de la LOPD define al afectado o interesado, en la letra e), como a la persona física titular de los datos que sean objeto del tratamiento. Por su parte, como sujetos que proceden al tratamiento de los datos, distinguimos dos sujetos, de un lado, el responsable del fichero 13, que es la «persona física o jurídica, de naturaleza pública o privada u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento». Y, de otro lado, el encargado del tratamiento 14 que es «la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento». Son datos especialmente protegidos «las informaciones concernientes a la salud pasada, presente y futura, física o mental, de un individuo. En particular, se consideran datos relacionados con la salud de las personas los referidos a su porcentaje de discapacidad y a su información genética» La clave de estas definiciones está en que el responsable del fichero lo es porque decide sobre la finalidad, contenido y uso del tratamiento que se va a llevar a cabo y esto aunque, como añade el RDLOPD al definirlo 15 «no lo realizase materialmente». Cuántas veces en la prestación de servicios sociales se encomienda a un tercero la gestión del servicio y el responsable de prestarlo ni siquiera tiene acceso a los datos de los usuarios. Por su parte, la clave de la figura del encargado del tratamiento la encontramos en que presta los servicios por cuenta del responsable del fichero recibe un encargo que implica un tratamiento de datos, pero no decide ni la finalidad del tratamiento ni el contenido de los datos a tratar, ni el uso o usos que se les vayan a dar a los datos. Además, cabe señalar que el RDLOPD ha añadido a estas definiciones la aclaración de que podrán ser también responsables del fichero o encargados del tratamiento los entes sin personali- 12 Recomendación 1/2005, de 5 de agosto, de la Agencia de Protección de Datos de la Comunidad de Madrid, sobre Archivo, Uso y Custodia de la Documentación que compone la Historia Social no informatizada por parte de los Centros Públicos de Servicios Sociales de la Comunidad de Madrid (aprobada por Resolución del Director de la Agencia de Protección de Datos de la Comunidad de Madrid con fecha ) (BOCM núm. 190, de 11 agosto 2005). 13 Definición contenida en el artículo 3 d) de la LOPD. 14 Definición contenida en el artículo 3 g) de la LOPD. 15 Artículo 5.1. q) «Responsable del fichero o del tratamiento: Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que sólo o conjuntamente con otros decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente. Podrán ser también responsables del fichero o del tratamiento los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados». El Consultor de los Ayuntamientos Rev. 5/ ElConsultor-5.indb /03/ :46:44

5 OPINIÓN Actualidad dad jurídica que actúen en el tráfico como sujetos diferenciados. De este modo se viene a incluir en estas categorías de sujetos estos entes sobre los que había duda sobre si podían o no ser sujetos responsables o encargados del tratamiento. Dicho esto, entremos a considerar los principales problemas que la aplicación práctica de la protección de datos presenta en el ámbito que analizamos, la prestación de servicios sociales. III. PRINCIPALES CUESTIONES A TENER EN CUENTA Los sujetos implicados en esta problemática son, de un lado, los titulares de los datos, y de otro lado, los responsables de su tratamiento Las principales cuestiones que queremos abordar aquí se centran en repasar las principales obligaciones que derivan del tratamiento de datos de carácter personal y en particular qué especialidades presentan éstas en la prestación de los servicios sociales. Como idea central de este desarrollo, señalar que las obligaciones que derivan de la protección de datos se pueden resumir en cinco grandes grupos: En primer lugar, como obligación previa al tratamiento de los datos, la inscripción de los ficheros, en segundo lugar, destacamos el tratamiento legal de los datos que implica observar todos los principios que derivan de la normativa sobre la materia, como tercera obligación, la necesidad de garantizar la seguridad de los datos, en cuarto lugar, esta normativa debe ser observada en las relaciones que el responsable del fichero establezca con terceros en las que estén implicados tratamientos de datos de carácter personal y, en quinto y último lugar, la atención y respuesta al ejercicio de los derechos que se reconocen a los titulares de los datos Inscripción de ficheros En todo tratamiento de datos de carácter personal, y el ámbito de los servicios sociales, no es una excepción en este sentido, lo primero que debemos plantearnos para cumplir la normativa sobre protección de datos es qué tratamientos de datos realizamos, de qué bases de datos podemos ser responsables. Cuando prestamos un servicio social necesitamos recoger un conjunto de información personal y lo primero que debemos determinar es qué información personal necesitamos y de quién la vamos a recoger. Dependiendo del servicio que prestemos, puede ser directamente del interesado, o de un tercero, por ejemplo, en el caso de un menor de edad, podemos obtener la información de sus padres o tutores o en el caso de un discapacitado, de su representante legal. Una vez que hayamos definido las bases de datos de las que somos responsables y el contenido de cada una de ellas, la primera obligación que debemos cumplir es la de proceder a inscribirlas en el Registro de Protección de Datos correspondiente 16. Para ello, y tratándose de ficheros de titularidad pública, esta inscripción debe ir precedida de la aprobación de una disposición de carácter 16 Siendo los órganos de control, en materia de protección de datos, de un lado, la Agencia Española de Protección de Datos, AEPD, competente en materia de ficheros de titularidad privada y en materia de ficheros de titularidad pública siempre que en ese ámbito territorial, no haya sido creada una Agencia autonómica de protección de datos. Por tanto, la inscripción de los ficheros de titularidad pública, como es el caso que nos ocupa, deberá realizarse en el Registro General de Protección de Datos de la AEPD, o en el Registro de Protección de Datos de la Agencia autonómica competente en el caso de que exista. En la actualidad contamos con la Agencia de Protección de Datos Catalana, la Agencia de Protección de Datos de la Comunidad de Madrid y la Agencia Vasca de Protección de Datos. A esto hay que añadir que cada una de estas Agencias puede exigir determinados requisitos específicos en el procedimiento de inscripción de los ficheros, requisitos que deberán ser observados en cada caso. 690 Rev. 5/2009 El Consultor de los Ayuntamientos ElConsultor-5.indb /03/ :46:44

6 Actualidad OPINIÓN general que recoja todo el contenido de la misma, su finalidad y usos previstos, el nivel de medidas de seguridad que va a resultar aplicable, etc. Una vez aprobada esta disposición se publicará en el Boletín o en el Diario Oficial correspondiente y se notificará al Registro para su inscripción. La inscripción de los ficheros es la primera obligación que surge en materia de protección de datos, pero, como vamos a analizar, no es la única. También nos interesa señalar que la obligación de inscribir los ficheros no termina con la inscripción de la creación del fichero, esta inscripción debe mantenerse actualizada y responder a la realidad, por tanto deberá ser modificada o suprimida, según lo que corresponda en cada caso Tratamiento legal de los datos Para definir los datos que necesitamos, y conforme al principio de calidad de los datos 17, estos datos deberán ser adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido. Es importante tener presente que esos datos no pueden usarse para finalidades incompatibles con aquellas para las que los hayamos recogido. Otro aspecto que nos exige la calidad de los datos y que debemos tener presente es que los datos que se traten deben ser exactos y estar puestos al día de forma que respondan con veracidad a la situación actual del afectado. En el día a día de los servicios sociales hay muchos servicios que se prestan de forma indefinida, pero también hay muchos otros que son puntuales, de un momento concreto, pensemos en una Ayuda de Emergencia Social, por ejemplo, que nos lleva a recoger y tratar una información personal derivada de una situación concreta que, Una vez que hayamos definido las bases de datos de las que somos responsables y el contenido de cada una de ellas, la primera obligación que debemos cumplir es la de proceder a inscribirlas en el Registro de Protección de Datos correspondiente en el momento en que se subsana, quizá ya no sea necesario el tratamiento de estos datos. Así, transcurrida la necesidad deja de ser precisa la asistencia social y en estos casos es necesario que se actualice la información personal que se maneja y, en su caso, que se proceda a la cancelación de los datos personales. La cancelación que es definida por el RDLOPD en el art b) como: «Procedimiento en virtud del cual el responsable cesa en el uso de los datos. La cancelación implicará el bloqueo de los datos, consistente en la identificación y reserva de los mismos con el fin 17 El artículo 4 de la LOPD dispone: «1. Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido. 2. Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. No se considerará incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos. 3. Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado. 4. Si los datos de carácter personal registrados resultaran ser inexactos, en todo o en parte, o incompletos, serán cancelados y sustituidos de oficio por los correspondientes datos rectificados o completados, sin perjuicio de las facultades que a los afectados reconoce el artículo Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados. No serán conservados en forma que permita la identificación del interesado durante un período superior al necesario para los fines en base a los cuales hubieran sido recabados o registrados. Reglamentariamente se determinará el procedimiento por el que, por excepción, atendidos los valores históricos, estadísticos o científicos de acuerdo con la legislación específica, se decida el mantenimiento íntegro de determinados datos. 6. Los datos de carácter personal serán almacenados de forma que permitan el ejercicio del derecho de acceso, salvo que sean legalmente cancelados. 7. Se prohíbe la recogida de datos por medios fraudulentos, desleales o ilícitos.» El Consultor de los Ayuntamientos Rev. 5/ ElConsultor-5.indb /03/ :46:44

7 OPINIÓN Actualidad de impedir su tratamiento excepto para su puesta a disposición de las Administraciones públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento y solo durante el plazo de prescripción de dichas responsabilidades. Transcurrido ese plazo deberá procederse a la supresión de los datos». Respecto del momento de proceder a la cancelación de los datos, un caso particular en materia de servicios sociales lo encontramos en relación con la historia social. La historia social, describe la Recomendación 1/2008, como establece el art. 3 del Código Deontológico de los Trabajadores Sociales 18, es un instrumento documental en el que se registran exhaustivamente los datos personales, familiares, sanitarios, de vivienda, económicos, laborales, educativos, y cualesquiera otros significativos de la situación socio-familiar de un usuario, la demanda, el diagnóstico y la subsiguiente intervención y la evolución de su situación personal. Las historias sociales permiten describir, analizar, sintetizar y cuantificar las situaciones de los beneficiarios de los servicios sociales tanto a nivel personal como en relación con su entorno. Las historias sociales son imprescindibles ya que aportan al profesional datos básicos para fijar objetivos, un plan de trabajo, un compromiso con el usuario, con calendarios, períodos y procedimientos de intervención. En concreto, respecto de la cancelación, la citada Recomendación dispone: «Las historias sociales en formato papel, en cuya documentación puede encontrarse la ficha social, el proyecto de intervención social y el informe social, a los efectos de la cancelación de datos personales, deberán diferenciarse dos momentos de la historia social: 1. Cuando la historia social está activa por tener utilidad para la prestación social del usuario. En este supuesto, deberá conservarse, durante el tiempo en que se esté prestando la asistencia social y, con posterioridad, un mínimo de tiempo desde que dicha asistencia social finalice y se considere que puede ser útil para posibles nuevas actuaciones. En relación con este plazo, es susceptible de aplicación analógica el plazo que la Ley 41/2002, de 14 de noviembre, Básica Reguladora de la Autonomía del Paciente y de Derechos y Obligaciones en materia de Información y Documentación Clínica, establece para la historia clínica, esto es, cinco años, como mínimo, contados desde que haya finalizado la prestación social correspondiente. 2. Cuando, transcurrido el plazo anterior, la historia social pierde su utilidad convirtiéndose en pasiva, debiendo conservarse únicamente a efectos judiciales. En este caso, se deberá trasladar la documentación de la historia social al archivo central correspondiente». La cuestión de qué hacer con los datos, una vez finalizada la prestación de un servicio es una cuestión que preocupa mucho a los responsables de la prestación de estos servicios y la respuesta general que podemos dar a esta cuestión es la de conservar los datos bloqueados, esto es, como veíamos que describe el RDLOPD, reservados e identificados, a disposición de las autoridades públicas competentes, durante el tiempo en que puedan exigirse responsabilidades, para después de transcurrido este tiempo, pueda procederse a la supresión de los mismos. Además de las exigencias derivadas de la calidad de los datos, en recogida de la información personal, debemos cumplir el principio de información y proceder a facilitar al titular de los datos toda la información exigida por el art de la LOPD para que así conozca, entre otros aspectos, 18 El Código Deontológico de la profesión de Diplomado en Trabajo Social fue aprobado por la Asamblea General de Colegios Oficiales de Diplomados en Trabajo Social y Asistentes Sociales el 29 de mayo de Artículo 5.1. de la LOPD: «Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco: a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de estos y de los destinatarios de la información. b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas. c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos. d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición. e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante. 692 Rev. 5/2009 El Consultor de los Ayuntamientos ElConsultor-5.indb /03/ :46:44

8 Actualidad OPINIÓN quién está procediendo a recoger y posteriormente va a tratar sus datos, con qué finalidad lo va a realizar, a quién los va a ceder, en su caso, y para qué fin. La necesidad de cumplir este deber de información, unido a la práctica habitual de la recogida de datos a través de diversos formularios que se manejan en el ámbito de los servicios sociales, como los de solicitud de ayudas, de prestación de servicios, de becas de estudios, de comedor o material escolar, etc., nos lleva a recomendar la necesidad de estandarizar el cumplimiento de este deber a través de la incorporación de las debidas cláusulas informativas en los formularios que habitualmente se manejan para estos fines. También es cierto que muchas veces el cauce de recogida de datos es el teléfono, los mensajes SMS o Internet, y en estos casos es importante cumplir también este deber de información en la forma que mejor se adecue al medio de recogida de datos utilizado. Un tercer principio a observar, para el tratamiento legal de los datos, exige solicitar el consentimiento previo e inequívoco del titular de los datos, o en su caso, de sus padres, tutores o representantes legales, para proceder a realizar los tratamientos de datos que corresponda. Como indicábamos antes, si la recogida de datos se realiza a través de formulario, éste puede ser un buen instrumento para plasmar el consentimiento y, de esta forma, guardar prueba de haber cumplido los dos deberes, el de información previa y el de solicitud de consentimiento. Prueba que el RDLOPD exige al responsable del fichero cuando dispone que: «Corresponderá al responsable del tratamiento la prueba de la existencia del consentimiento del afectado por cualquier medio de prueba admisible en derecho 20». O que: «El deber de información al que se refiere el art. 5 de la Ley Orgánica 15/1999, Un principio a observar, para el tratamiento legal de los datos, exige solicitar el consentimiento previo e inequívoco del titular de los datos, o en su caso, de sus padres, tutores o representantes legales, para proceder a realizar los tratamientos de datos que corresponda de 13 de diciembre, deberá llevarse a cabo a través de un medio que permita acreditar su cumplimiento, debiendo conservarse mientras persista el tratamiento de los datos del afectado» 21. Como reglas especiales a destacar en materia de consentimiento, decir que si bien la regla general es la necesidad de consentimiento, hay excepciones que permiten realizar los tratamientos debidos sin necesidad del mismo, por ejemplo, cuando exista una Ley que así lo autorice, o cuando sean tratamientos que deriven de la existencia de una relación jurídica cuyo cumplimiento y desarrollo los haga necesarios. También debemos tener presente que el carácter de especialmente protegidos 22 de algunos datos lleva consigo la exigencia de que el consentimiento sea expreso, cuando se trata de datos relativos a la salud, la vida sexual o el origen racial, y, además de expreso, por escrito cuando los datos se refieran a ideología, afiliación sindical, religión o creencias. Datos estos que, como ya hemos señalado, suelen ser tratados en el ámbito de los servicios sociales, de ahí la necesidad de conocer esta regla especial y cumplirla en los casos en que sea necesario. Para terminar con esta referencia al principio de consentimiento, y por las implicaciones que el mismo puede tener en este ámbito, queremos señalar que el RDLOPD ha venido a arrojar luz sobre la posibilidad de que los menores de edad presten el consentimiento por sí mismos, así el art. 13 de este cuerpo normativo dispone: «Podrá procederse al tratamiento de los datos de los mayores Cuando el responsable del tratamiento no esté establecido en el territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, deberá designar, salvo que tales medios se utilicen con fines de trámite, un representante en España, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento». 20 Artículo 12.3 del RDLOPD. 21 Artículo 18.1 del RDLOPD. 22 Recordemos que eran los datos referentes a la ideología, afiliación sindical, religión o creencias, origen racial, salud o vida sexual. El Consultor de los Ayuntamientos Rev. 5/ ElConsultor-5.indb /03/ :46:44

9 OPINIÓN Actualidad de catorce años con su consentimiento, salvo en aquellos casos en los que la Ley exija para su prestación la asistencia de los titulares de la patria potestad o tutela. En el caso de los menores de catorce años se requerirá el consentimiento de los padres o tutores». Si bien, esta regla está limitada en el sentido de que en ningún caso podrán recabarse del menor datos que permitan obtener información sobre los demás miembros del grupo familiar, o sobre las características del mismo, como los datos relativos a la actividad profesional de los progenitores, información económica, datos sociológicos o cualesquiera otros, sin el consentimiento de los titulares de tales datos. No obstante, podrán recabarse los datos de identidad y dirección del padre, madre o tutor con la única finalidad de recabar la autorización necesaria. En estos casos, la información dirigida a los menores de edad deberá expresarse en un lenguaje que sea fácilmente comprensible por aquéllos, y corresponderá al responsable del fichero o tratamiento articular los procedimientos que garanticen que se ha comprobado de modo efectivo la edad del menor y la autenticidad del consentimiento prestado en su caso, por los padres, tutores o representantes legales. Otros principios que rigen el tratamiento legal de los datos son el principio de seguridad de los datos, la exigencia de que la cesión o comunicación de datos se realice, como regla general, con el previo consentimiento del interesado o la necesidad de formalizar en un contrato por escrito las prestaciones de servicios que se encomienden a terceros. Principios todos estos que por las peculiaridades que presentan y por las novedades que han visto introducidas con el RDLOPD, pasamos a analizar detalladamente a continuación Seguridad de los datos La seguridad de los datos de carácter personal exige, como primera obligación la adopción de un documento de seguridad que refleje la política de seguridad adoptada por la empresa o la entidad pública para el tratamiento de los datos. Los datos de carácter personal se clasifican en tres niveles de medidas de seguridad, básico, medio y alto, y el RDLOPD describe las medidas de seguridad que como mínimo se deben adoptar para garantizar la seguridad de los datos en cada uno de los niveles. Estos niveles de medidas de seguridad son acumulativos, de forma que a un fichero de nivel medio se le deben aplicar las medidas de seguridad de nivel básico y las de nivel medio y a un fichero de nivel alto se aplicarán las medidas de seguridad de nivel básico, las de nivel medio y las propias de nivel alto. La aplicación de los niveles de medidas de seguridad viene detallada en el art. 81 del RDLOPD 23 que dispone, a los efectos que pueden resultar aplicables al tratamiento de datos en la prestación 23 Artículo 81. Aplicación de los niveles de seguridad: «1. Todos los ficheros o tratamientos de datos de carácter personal deberán adoptar las medidas de seguridad calificadas de nivel básico. 2. Deberán implantarse, además de las medidas de seguridad de nivel básico, las medidas de nivel medio, en los siguientes ficheros o tratamientos de datos de carácter personal: a) Los relativos a la comisión de infracciones administrativas o penales. b) Aquellos cuyo funcionamiento se rija por el artículo 29 de la Ley Orgánica 15/1999, de 13 de diciembre. c) Aquellos de los que sean responsables Administraciones tributarias y se relacionen con el ejercicio de sus potestades tributarias. d) Aquellos de los que sean responsables las entidades financieras para finalidades relacionadas con la prestación de servicios financieros. e) Aquellos de los que sean responsables las Entidades Gestoras y Servicios Comunes de la Seguridad Social y se relacionen con el ejercicio de sus competencias. De igual modo, aquellos de los que sean responsables las mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social. 694 Rev. 5/2009 El Consultor de los Ayuntamientos ElConsultor-5.indb /03/ :46:44

10 Actualidad OPINIÓN de servicios sociales, que todos los ficheros o tratamientos de datos de carácter personal deberán adoptar las medidas de seguridad de nivel básico. Las medidas de nivel medio, se aplicarán a los ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales; y a aquéllos que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos. Por su parte, las medidas de nivel alto se aplicarán en los ficheros o tratamientos de datos de carácter personal que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual; los que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las personas afectadas, aquéllos que contengan datos derivados de actos de violencia de género. Hasta aquí, algunas nociones básicas en materia de seguridad de datos, ahora queremos destacar dos aspectos, y para ello, como cuestión previa, destacaremos que hasta la aprobación del RDLOPD, la LOPD encontraba una laguna en su desarrollo reglamentario en materia de medidas de seguridad aplicables a los ficheros manuales. El art. 9 de la LOPD dispone: «1. El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural. 2. No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas. 3. Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros y las personas que intervengan en el tratamiento de los datos a que se refiere el art. 7 de esta Ley». Para la LOPD, y ya no son novedades del RDLOPD, las conclusiones a las que nos lleva este artículo, en lo que ahora nos interesa, son, en primer lugar, que tanto el responsable del fichero como el encargado del tratamiento están obligados a observar las medidas de seguridad que establezca el Reglamento y en segundo lugar que las medidas de seguridad son aplicables a todos los ficheros, entendiendo la LOPD por fichero, como hemos tenido oportunidad de analizar, tanto los que son automatizados como los que son manuales. Decimos que no son novedades del RDLOPD, porque ya la LOPD, siguiendo a la Directiva comunitaria 24, recogía estas obligaciones, si bien, la falta de desarrollo reglamentario ha dificultado, hasta la aprobación del RDLOPD, seriamente su aplicación. Y esto es lo que vamos a analizar, el desarrollo reglamentario de estas obligaciones. f) Aquellos que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos. 3. Además de las medidas de nivel básico y medio, las medidas de nivel alto se aplicarán en los siguientes ficheros o tratamientos de datos de carácter personal: a) Los que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual. b) Los que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las personas afectadas. c) Aquellos que contengan datos derivados de actos de violencia de género». 24 Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Publicada en el DO. L. 281 de 23 de noviembre de 1995 (LA LEY 5793/1995). El Consultor de los Ayuntamientos Rev. 5/ ElConsultor-5.indb /03/ :46:44

11 OPINIÓN Actualidad Dicho esto, el RDLOPD ha venido a desarrollar, de un lado, el contenido de las medidas de seguridad que deben ser aplicadas, como mínimos exigibles, a los tratamientos de datos en soporte manual, y en segundo lugar, la forma en la que el encargado del tratamiento debe observar las medidas de seguridad para proteger los datos cuyo tratamiento se le ha encomendado. Hemos elegido centrarnos en estas dos cuestiones, en lo que a medidas de seguridad corresponde, porque entendemos que tienen una especial aplicación en un ámbito como el de los servicios sociales. Así, como analizaremos después, la figura del encargado del tratamiento en todas sus modalidades es de gran aplicación a la prestación de estos servicios, los responsables de la prestación de servicios sociales acuden con frecuencia a la externalización de determinados servicios que implican un tratamiento de datos en su desarrollo y que cumplen todos los requisitos para considerarse como un acceso a datos por cuenta de terceros y aplicarle todas las exigencias que derivan de la LOPD y del RDLOPD y que posteriormente analizaremos Ficheros manuales En el ámbito de los servicios sociales, el tratamiento de los datos personales se desarrolla tanto en soportes automatizados como en soportes manuales y la mayoría de los tratamientos se realizan de forma mixta, parte en soporte automatizado, parte en soporte papel. Este hecho nos lleva a la necesidad de analizar la obligación de seguridad de los datos desde la perspectiva de las medidas de seguridad que deben aplicarse a los soportes automatizados y las que corresponden a los ficheros manuales. El desarrollo reglamentario de la LOPD también demandaba con urgencia la determinación de las medidas de seguridad que debían ser aplicadas a los ficheros o tratamientos de datos manuales o no automatizados. El RDLOPD dedica a estos los arts. 105 a 114 y en ellos se hace referencia a los criterios de archivo de la documentación disponiendo que estos deberán garantizar la correcta conservación de los documentos, la localización y consulta de la información y posibilitar el ejercicio de los derechos. En segundo lugar, establece que los dispositivos de almacenamiento de los documentos deberán disponer de mecanismos que obstaculicen su apertura u otros que impidan el acceso de personas no autorizadas. Como tercera medida de nivel básico, aborda un problema de seguridad muy frecuente en el tratamiento de datos en soporte papel cual es el de la custodia de los soportes mientras la documentación con datos de carácter personal no se encuentre archivada en los dispositivos de almacenamiento. Se refiere a supuestos en los que la documentación esté siendo utilizada para el desarrollo del trabajo del personal y establece que en estos casos la persona que se encuentre al cargo de la misma deberá custodiarla e impedir en todo momento que pueda ser accedida por persona no autorizada. Como medidas de seguridad de nivel medio se refiere a la necesidad de designar un responsable de seguridad y de realizar una auditoria, al menos cada dos años, que verifique el cumplimiento de la política de seguridad. Por su parte, como medidas específicas de nivel alto, el Reglamento se refiere a cuestiones como el lugar de almacenamiento de la información, la copia o reproducción de la documentación, el control del acceso a la documentación y el traslado físico de la documentación. Como conclusión a esta breve referencia a las medidas de seguridad que deben adoptarse para proteger los ficheros manuales o no automatizados, decir que, en contra de lo que muchas veces pensamos, la protección de los datos de carácter personal en soporte papel se hace, en la mayoría de los casos, mucho más compleja y difícil de garantizar. En este sentido, la Agencia de Protección de Datos de la Comunidad de Madrid 25 estima que es conveniente la migración de la información personal desde el soporte papel al soporte informático. El recurso a la informática dentro del ámbito 25 Recogido en la obra Protección de datos personales para servicios sociales públicos, de la Agencia de Protección de Datos de la Comunidad de Madrid, Thomson Aranzadi, 2008, Madrid. Pág Rev. 5/2009 El Consultor de los Ayuntamientos ElConsultor-5.indb /03/ :46:44

12 Actualidad OPINIÓN de los servicios sociales permite la reducción del gasto corriente y el subsiguiente incremento de las prestaciones sociales, además de favorecer la implantación de mejores medidas de seguridad, con el consiguiente fortalecimiento de la confidencialidad de la información Encargados del tratamiento En primer lugar, trataremos las reglas especiales que implica la aplicación de medidas de seguridad por el encargado del tratamiento. Reglas especiales que no exceptúan la obligación de observar las reglas generales que el Reglamento establece en materia de medidas de seguridad. En el ámbito de los servicios sociales, como desarrollaremos después, es muy frecuente la externalización de determinados servicios en terceras empresas a las que se encomienda su gestión. En estos casos, atendiendo a las circunstancias, nos podemos encontrar ante un encargado del tratamiento que actúa por cuenta del responsable y que debe firmar con este un contrato que reúna todas las exigencias del art. 12 de la LOPD. Entre estas exigencias se encontrará, necesariamente, la de su compromiso de garantizar la seguridad de los datos. Como reglas especiales a este respecto encontramos los siguientes supuestos: Prestación de servicios en los locales del responsable En este caso y conforme al art del RDLOPD, el responsable del fichero deberá hacer constar esta circunstancia en su documento de seguridad y el personal del encargado del tratamiento deberá comprometerse al cumplimiento de las medidas de seguridad previstas en el citado documento. Prestación de servicios por acceso remoto Cuando dicho acceso sea remoto, si el responsable ha prohibido al encargado incorporar tales datos a sistemas o soportes distintos de los suyos propios, se deberá hacer constar esta circunstancia en el documento de seguridad del responsable y de nuevo el personal del encargado del tratamiento deberá comprometerse al cumplimiento de las medidas de seguridad previstas en el citado documento. Prestación de servicios en los locales del encargado del tratamiento En este caso, conforme al art del RDLOPD, el encargado del tratamiento deberá elaborar un documento de seguridad o completar el que ya hubiera elaborado, identificando el fichero o tratamiento y el responsable del mismo e incorporando las medidas de seguridad a implantar en relación con dicho tratamiento. Prestaciones de servicios sin acceso a datos personales Cuando el servicio que se vaya a prestar no requiera del tratamiento de datos de carácter personal, pero, por ejemplo, en el lugar en el que este servicio se vaya a desarrollar, se encuentran soportes y recursos que contienen información personal, el contrato de prestación de servicios recogerá expresamente la prohibición de acceder a los datos personales y la obligación de secreto respecto a los datos que el personal hubiera podido conocer con motivo de la prestación del servicio. Dicho esto, y con carácter general, mencionar que la existencia de un encargado del tratamiento implica que esta circunstancia debe constar en el documento de seguridad del responsable del fichero y en el documento de seguridad del encargado del tratamiento, así veníamos haciéndolo en la práctica y el RDLOPD ha venido a detallar esta obligación en su art donde dispone que el El Consultor de los Ayuntamientos Rev. 5/ ElConsultor-5.indb /03/ :46:44

13 OPINIÓN Actualidad encargado del tratamiento recogerá en su documento de seguridad «la identificación de los ficheros o tratamientos que se traten en concepto de encargado con referencia expresa al contrato o documento que regule las condiciones del encargo, así como de la identificación del responsable y del período de vigencia del encargo». Para cumplir esta obligación también hay que atender a las circunstancias del encargo, así, en aquellos casos en los que datos personales de un fichero o tratamiento se incorporen y traten de modo exclusivo en los sistemas del encargado, el responsable deberá anotarlo en su documento de seguridad. De este modo, el Reglamento llega a prever que cuando tal circunstancia afectase a parte o a la totalidad de los ficheros o tratamientos del responsable, éste puede delegar en el encargado la llevanza del documento de seguridad, salvo en lo relativo a aquellos datos contenidos en recursos propios. En cualquier caso, lo importante es que el contrato de prestación de servicios cumpla todas las exigencias del art. 12 de la LOPD y refleje todas estas cuestiones de forma clara y precisa Relaciones con terceros Cuando un responsable del fichero tiene que transmitir los datos de carácter personal contenidos en los ficheros de los que él es responsable a un tercero, pueden darse dos situaciones, o que ese tercero sea un cesionario y se esté realizando una cesión o comunicación de datos, o que ese tercero sea un encargado del tratamiento que acceda y trate los datos por cuenta del responsable. En el ámbito de los servicios sociales ambas figuras son muy frecuentes. La cesión o comunicación de datos se regula en el art. 11 de la LOPD, que como regla general establece la necesidad de consentimiento del titular de los datos para poder proceder a la cesión. La cesión o comunicación de datos se regula en el art. 11 de la LOPD, que establece la necesidad de consentimiento del titular de los datos para poder proceder a la cesión Este consentimiento requiere que el titular de los datos conozca quién es el cesionario y que la cesión sea necesaria para cumplir fines relacionados entre las funciones que desempeña el responsable del fichero o cedente y el cesionario de los datos. Sin embargo, como toda regla general, la del consentimiento para la cesión tiene excepciones y, a los efectos que nos ocupan, podemos destacar las que hacen referencia a la existencia de una norma con rango de ley que autorice la cesión, cuando se trate de datos recogidos de fuentes accesibles al público 26, cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación solo será legítima en cuanto se limite a la finalidad que la justifique. Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco será preciso el consentimiento cuando la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas. Cuando la cesión se produzca entre Administraciones públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos. Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero 26 Conforme al artículo 3 j) de la LOPD son fuentes accesibles al público «aquellos ficheros cuya consulta puede ser realizada, por cualquier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación. Tienen la consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público los diarios y boletines oficiales y los medios de comunicación». 698 Rev. 5/2009 El Consultor de los Ayuntamientos ElConsultor-5.indb /03/ :46:44

14 Actualidad OPINIÓN o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica. En materia de servicios sociales, las cesiones de datos amparadas en una ley nos llevan a pensar en ejemplos como los relacionados con violencia de género, mediación familiar, etc. Por su parte, las cesiones derivadas de una relación jurídica son definidas por la Recomendación 1/2008 así: «Del mismo modo que no es necesario el consentimiento para recabar los datos de una persona si los datos se refieren a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa, tampoco lo es para comunicar (ceder) los datos a un tercero, siempre que sea preciso y necesario para el cumplimiento y control de la relación jurídica establecida. Esta relación jurídica puede ser de carácter laboral, administrativa, asociativa, corporativa, negocial o contractual. En el ámbito que nos ocupa, esta relación jurídica se establece entre los usuarios y los Centros de Servicios Sociales de la Comunidad de Madrid y los Centros de Servicios Sociales de los Entes Locales de la Comunidad de Madrid, de manera que en ocasiones será necesario comunicar datos a un tercero, comunicación que se puede realizar sin el consentimiento del usuario, siempre y cuando la finalidad de la cesión venga derivada de las competencias en materia de servicios sociales de las Administraciones Públicas citadas». Por su parte, la segunda figura que deriva de las relaciones del responsable del fichero con terceros, nos lleva a la prestación de servicios o acceso a datos por cuenta de terceros. Esto es, a la figura del encargado del tratamiento a la que ya hemos hecho referencia. En estos supuestos, debemos estar a lo dispuesto en el art. 12 de la LOPD y en los arts. 20 a 22 del RDLOPD. En este caso, estamos ante una excepción a la aplicación de las reglas de la cesión o comunicación de datos siempre que cumplamos las reglas que pasamos a detallar. El contenido del art. 12 de la LOPD lo podemos resumir en la necesidad de que el responsable del fichero firme con el encargado del tratamiento un contrato, que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido y en él se establecerá expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas. Además, en el contrato se estipularán, como ya lo tratamos al analizar el deber de seguridad, las medidas de seguridad a que se refiere el art. 9 de la LOLPD que el encargado del tratamiento está obligado a implementar. El contrato deberá establecer el destino de los datos una vez cumplida la prestación contractual, determinando si los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento. Todas estas reglas se aplicarán siempre que el encargado del tratamiento cumpla con lo estipulado en el contrato, de este modo, la LOPD dispone que si el encargado destina los datos a otra finalidad, los comunica o los utiliza incumpliendo estas estipulaciones, será considerado también responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente. Dicho esto, y en relación con la regulación que el RDLOPD realiza de esta figura, señalar que viene a tratar cuestiones que la práctica había demostrado como necesarias y a las que la LOPD no daba una respuesta. Se trata de temas como la posibilidad de que el encargado del tratamiento pueda subcontratar a un tercero para la prestación del servicio encomendado por el responsable, o cómo proceder a la conservación de los datos que han sido objeto de tratamiento por el encargado. En cuanto a la subcontratación, el art. 21 del Reglamento establece la necesidad de previa autorización del responsable para proceder a la subcontratación y realizar esta en nombre y por cuenta del responsable del tratamiento. El Consultor de los Ayuntamientos Rev. 5/ ElConsultor-5.indb /03/ :46:44

15 OPINIÓN Actualidad Como excepción a esta regla general de la necesidad de autorización, a continuación se establece que será posible la subcontratación cuando se especifiquen en el contrato los servicios que puedan ser objeto de subcontratación y la empresa con la que se vaya a subcontratar. Cuando la necesidad de subcontratación surja con posterioridad al contrato, el encargado deberá comunicar al responsable los datos que la identifiquen antes de proceder a la subcontratación. En estos casos la empresa subcontratada deberá firmar con el encargado del tratamiento un contrato que reúna todas las exigencias del art. 12 de la LOPD y estará sujeto a las mismas responsabilidades que éste cuando no cumpla las instrucciones estipuladas por el responsable del fichero para la prestación del servicio encomendado. Respecto de la conservación de los datos por el encargado del tratamiento y dado que una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento o al encargado que éste hubiese designado, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento, el art. 22 del Reglamento establece que no procederá la destrucción de los datos cuando exista una previsión legal que exija su conservación, en cuyo caso deberá procederse a la devolución de los mismos garantizando el responsable del fichero dicha conservación. Y añade que el encargado del tratamiento conservará, debidamente bloqueados, los datos en tanto pudieran derivarse responsabilidades de su relación con el responsable del tratamiento Atención y respuesta al ejercicio de los derechos El titular de los datos de carácter personal tiene reconocidos en materia de protección de datos unos derechos que le permiten limitar los tratamientos que se realicen de sus datos, conocer los tratamientos que se están realizando, actualizar sus datos y oponerse al tratamiento de sus datos para fines de publicidad, por ejemplo. Entre estos derechos, encontramos los derechos de acceso, rectificación, cancelación y oposición, pero estos cuatro derechos no son los únicos reconocidos por la LOPD. Además, se reconoce a los titulares de los datos el derecho de impugnación de valoraciones, el derecho de consulta al Registro General de Protección de Datos y el derecho de indemnización por daños o lesiones en sus bienes o derechos sufridos por un tratamiento de datos no conforme a la LOPD. El derecho de acceso faculta al titular de los datos a solicitar información sobre sus datos de carácter personal sometidos a tratamiento por el responsable del fichero La regulación jurídica de estos derechos la encontramos en la LOPD, que dedica a los derechos de las personas el Título III que se desarrolla en los arts. 13 a 19. Estos artículos se encuentran desarrollados en el RDLOPD 23 a 36. Lo primero que debemos destacar de estos derechos es su carácter personalísimo, esto es, solo pueden ser ejercitados por el titular de los datos y la LOPD reconoce dos únicos supuestos en los que se puede admitir el ejercicio de estos derechos por representante y son el caso de los menores de edad y de los incapaces legales. Por su parte, el RDLOPD ha venido a ampliar las posibilidades de ejercicio de estos derechos a los representantes voluntarios que expresamente hayan sido designados para el ejercicio del derecho. Otra cuestión que entendemos relevante, desde el punto de vista del responsable del fichero, es la referente a que siempre se tiene que contestar el ejercicio de los derechos, es decir, cuando recibimos un ejercicio de derechos debemos responder dentro del plazo previsto y proceda o no proceda la solicitud que se nos realiza. Esto es, si se ejercita el derecho de acceso por una persona de la que no nos constan datos personales en nuestros ficheros, debemos contestarle indicando esta circunstancia. Si lo que se solicita es la rectificación o la cancelación de unos datos y esto no procede, responderemos argumentando nuestra decisión. Igualmente, respecto del derecho de oposición, deberemos contestar su solicitud indicando si podemos proceder a atenderlo o no porque, por ejemplo, existe una ley que se opone a ello. 700 Rev. 5/2009 El Consultor de los Ayuntamientos ElConsultor-5.indb /03/ :46:44

16 Actualidad OPINIÓN El derecho de acceso faculta al titular de los datos a solicitar información sobre sus datos de carácter personal sometidos a tratamiento por el responsable del fichero. Esta solicitud de información le da derecho a conocer el origen de los datos y las cesiones de los mismos a terceros realizadas o que se prevean realizar. Este derecho se puede ejercitar mediante petición o solicitud dirigida al responsable del fichero, formulada por cualquier medio que garantice la identificación del afectado y en la que conste el fichero o ficheros a consultar. Regulados en el art. 16 de la LOPD, los derechos de rectificación y cancelación podrán ejercitarse cuando el tratamiento de los datos de carácter personal no se ajuste a lo dispuesto en la LOPD y, en particular, cuando tales datos resulten inexactos o incompletos. Estos derechos procederán cuando los datos del afectado sean inexactos o incompletos, inadecuados o excesivos, para solicitar del responsable del fichero la rectificación o la cancelación de los mismos. La solicitud de rectificación deberá indicar el dato que es erróneo y la corrección que debe realizarse, y debiendo ir acompañada de la documentación justificativa de la rectificación solicitada, salvo que la misma dependa exclusivamente del consentimiento del interesado. Si los datos rectificados hubieran sido comunicados previamente, el responsable del tratamiento deberá notificar la rectificación efectuada a quien se hayan comunicado. También procede la cancelación cuando el tratamiento de los datos personales no se ajuste a lo dispuesto en la Ley y, en particular, cuando tales datos resulten inexactos o incompletos. Conforme al art de la LOPD, procederá ejercitar el derecho de oposición cuando para el tratamiento de los datos personales del afectado no sea necesario su consentimiento, y siempre que una Ley no disponga lo contrario, o cuando existan motivos fundados y legítimos relativos a una concreta situación personal. 4. CONCLUSIÓN Para concluir estas líneas incidir en el hecho de que cumplir la normativa de protección de datos implica observar varias obligaciones siendo una de ellas la inscripción de los ficheros de los que uno es responsable, pero no limitándose a eso. En el tratamiento de los datos, necesario para la prestación de los servicios sociales, deben observarse unos principios que regulan cómo debe ser ese tratamiento y nos indican qué datos podemos y debemos recoger, cómo debemos proceder a realizar esa recogida, qué medidas debemos adoptar para garantizar la seguridad, cuándo y cómo podemos proceder a ceder los datos a un tercero o a encargar la prestación de un servicio a un tercero y cómo atender y dar respuesta al ejercicio de los derechos que los titulares de los datos tienen reconocidos. El Consultor de los Ayuntamientos Rev. 5/ ElConsultor-5.indb /03/ :46:44