Guía 8: Adaptación de empresas a la LOPD

Transcripción

1 Guía 8: Adaptación de empresas a la LOPD Proyecto Realizado por y Financiado por

2 Tema 1. Fundamentos de la protección de datos personales Contenido Taller de adaptación de empresas a la LOPD... 1 Tema 1:... 4 Fundamentos de la protección de datos personales... 4 Contenido tema 1: fundamentos de la protección de datos personales... 5 Origen y Evolución... 6 Derecho a la protección de datos de carácter personal... 7 Ámbito de aplicación... 8 Obligaciones del responsable del fichero Tema 2: Legalización Contenido tema 2: legalización Concepto de fichero Tipos de ficheros Registro de ficheros Tema 3: Legitimación Contenido tema 3: legitimación Principio de calidad Principio de información Principio de consentimiento Datos especialmente protegidos Confidencialidad Principio de cesión Principio de acceso a datos Comparativa entre cesión y acceso a datos Tema 4: Protección Contenido tema 4: protección Principio de seguridad Niveles de seguridad Controles, procedimientos y medidas de seguridad Medidas de seguridad generales de obligado cumplimiento Ficheros o tratamientos automatizados Guía 8: Adaptación de empresas a la LOPD. Proyecto Amatic. Pág. 2

3 Tema 1. Fundamentos de la protección de datos personales Ficheros o tratamientos no automatizados Tema 5: Derechos ARCO Contenido tema 5: derechos ARCO Consideraciones generales Derecho de acceso Derecho de Rectificación Derecho de Cancelación Derecho de Oposición Tema 6: Implementación e infracciones Contenido tema 6: implementación e infracciones Determinación de ficheros Cumplimiento de principios Cumplimiento de medidas de seguridad Mantenimiento Infracciones Guía 8: Adaptación de empresas a la LOPD. Proyecto Amatic. Pág. 3

4 Tema 1: Fundamentos de la protección de datos personales Proyecto

5 Tema 1. Fundamentos de la protección de datos personales Contenido tema 1: fundamentos de la protección de datos personales Origen y evolución Derecho a la protección de datos de carácter personal Ámbito de aplicación Obligaciones del responsable del fichero Objetivo: aproximarnos a lo que supone la protección de datos personales, así como cierta terminología que será empleada con frecuencia. Guía 8: Adaptación de empresas a la LOPD. Proyecto Amatic. Pág. 5

6 Tema 1. Fundamentos de la protección de datos personales Origen y Evolución Para muchos de nosotros, la primera vez que oímos hablar de la protección de datos personales fue relacionado con una ley, la Ley Orgánica de Protección de Datos de carácter personal, más conocida como LOPD, promulgada el 13 de Diciembre de Es cierto que hoy en día es la ley vigente, pero hubo un antes y unos antecedentes. En nuestra propia Constitución Española, en el Título I, que habla de los derechos y deberos de todos los españoles, en el artículo 18 podemos encontrar el siguiente texto: 1. Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen. 2. El domicilio es inviolable. Ninguna entrada o registro podrá hacerse en él sin consentimiento del titular o resolución judicial, salvo en caso de flagrante delito. 3. Se garantiza el secreto de las comunicaciones y, en especial, de las postales, telegráficas y telefónicas, salvo resolución judicial. 4. La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos. Vemos que, aunque de manera muy genérica, ya se sientan los principios de la protección de datos personales. Con posterioridad, ya el 28 de enero 1.981, el Consejo de Europa elaboró el Convenio 108 sobre el tratamiento automatizado de datos de carácter personal. Este convenio fue suscrito por España 3 años más tarde. Aspectos de este convenio y una necesidad de precisar el párrafo 4 de la Constitución Española, dio lugar al desarrollo legislativo, que supuso la Ley Orgánica 5/1992, de 29 de Octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal, referida habitualmente como LORTAD. Como sabemos, con frecuencia una ley se desarrolla y concreta con un reglamente. En este caso tendremos que hablar del Reglamento de Medidas de Seguridad. Siguiendo con términos abreviados, que nos pueden ayudar a entender textos legales, este reglamento se lo conoce como RMS. En él se tratan con detalle los aspectos organizativos y técnicos, en el tratamiento de datos personales. El 24 de Octubre de 1.995, el Parlamento y el Consejo Europeo aprueban la Directiva 95/46/CE, que trata de la protección de las personas físicas en lo referente al tratamiento de datos personales y la libre circulación de estos datos. Las directivas europeas tienen que transponerse a la legislación española para su aplicación. De esta manera se promulga en el Ordenamiento jurídico español la consabida Ley Orgánica Guía 8: Adaptación de empresas a la LOPD. Proyecto Amatic. Pág. 6

7 Tema 1. Fundamentos de la protección de datos personales 15/1.999, de 13 de Diciembre, Diciembre de Protección de Datos de carácter personal. Nos referiremos a ella como LOPD. Una de las diferencias sustanciales respecto a la ORTAD, es que la LOPD se refiere al tratamiento tratamiento de datos automatizados o no. La ORTAD no hacía referencia datos personales en soporte papel y similares. Ilustración 1.. Cronología sobre la protección de datos personales La LOPD tuvo su desarrollo reglamentario el 21 de Diciembre de 2.007, a través del Real Decreto 1720/2.007, conocido como RLOPD, también en vigor, como la LOPD. En la actualidad la normativa vigente en España se rige por la LOPD y el RLOPD, antes citado. Derecho a la protección de datos de carácter personal per En el punto anterior hemos hecho un poco de memoria sobre la cronología y los antecedentes legales. No es menos importante profundizar en el significado y sentido de lo que supone la protección de datos personales. Ya hemos citado con anterioridad ell párrafo 4 del artículo 18 de nuestra Constitución: La La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos. derechos El Tribunal Constitucional en numerosas sentencias sen ha interpretado este texto, así y podemos leer en la STC 292/2000: 292/2000 Garantizar al titular de los datos (persona física) un poder de control y disposición sobre sus datos personales, es decir, sobre todos aquellos datos que le identifiquen o permitan su identificación. Por tanto, abarca cualquier tipo de dato personal, sea o no íntimo, cuyo conocimiento o empleo por terceros pueda afectar a sus Guía 8: Adaptación de empresas a la LOPD. Proyecto Amatic. Pág. 7

8 Tema 1. Fundamentos de la protección de datos personales derechos, sean o no fundamentales, incluidos los datos personales públicos, accesibles al conocimiento de cualquiera. En esta misma sentencia podemos seguir encontrando: Atribuye al titular de los datos un haz de facultades que consiste en el poder jurídico de imponer a tercero la realización u omisión de determinados comportamientos (deberes jurídicos), es decir, otorga al titular el poder de disposición sobre sus datos personales, que se concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el Estado o un particular. Y ese derecho a consentir el conocimiento y el tratamiento, informático o no, de los datos personales, requiere como complementos indispensables, por un lado, la facultad de saber en todo momento quién dispone de esos datos personales y a qué uso los está sometiendo, y, por otro lado, el poder oponerse a esa posesión y usos. En este texto ya aparecen términos y prácticas que más tarde descubriremos como esenciales en la LOPD y su puesta en marcha desde el punto de vista más práctico. Ámbito de aplicación Todos debemos proteger nuestros datos personales, así como otros aspectos de mi actividad. Pero hasta qué punto todo lo que diga esta Ley y Reglamento me obliga y me afecta legalmente. A esto llamaremos ámbito de aplicación. Veamos que hay tres aspectos en relación este punto. Ámbito Territorial Siempre que haya tratamiento de personales y se cumpla una de estas 4 características: 1. Que el responsable del tratamiento realice dicho tratamiento en un local ubicado es España. 2. Que el encargado de tratamiento sea el que está en España. En este caso tomará especial relevancia lo relativo a medidas de seguridad. 3. Que los medios que utilice en encargado de tratamiento estén en territorio español, salvo que sea únicamente con fines de tránsito. En este caso estará obligado a nombrar un responsable legal que esté en España. Aquí se puede incluir los uso de servidores de alojamiento o de aplicaciones en las famosas nubes. 4. Cuando el Derecho internacional público diga la legislación española es de aplicación, pese a no cumplir ninguno de las condiciones anteriores. Guía 8: Adaptación de empresas a la LOPD. Proyecto Amatic. Pág. 8

9 Tema 1. Fundamentos de la protección de datos personales Ámbito Subjetivo En este caso, la descripción del ámbito subjetivo nos indica qué sujetos o entidades están obligados o beneficiados por la LOPD. En cierto modo además de delimitar el ámbito de aplicación, nos indica cómo se llaman los actores implicados en cualquier tratamiento de datos personales y nos ayudará a saber cómo nos posiciona frente al tratamiento de cierto dato, en qué figura nos encuadra. (1) Dentro del ámbito obligacional, sujetos obligados a acatar la LOPD. (a) El responsable del fichero o el tratamiento: persona física o jurídica, o entidad sin personalidad jurídica, de naturaleza pública o privada, u órgano administrativo, que sólo o conjuntamente con otros decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente. (b) El encargado del tratamiento: la persona física o jurídica, o entidad sin sin personalidad jurídica, de naturaleza pública o privada, u órgano administrativo, que sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio. (c) Tercero: la persona física o jurídica, o entidad sin personalidad jurídica, pública o privada u órgano administrativo distinta del afectado o interesado, del responsable del tratamiento, del responsable del fichero, del encargado del tratamiento y de los usuarios. (d) Destinatario o cesionario: la persona física o jurídica, o entes sin personalidad jurídica, pública o privada u órgano administrativo, al que se revelen los datos. (2) Dentro del ámbito de protección, sujetos protegidos por la normativa sobre protección de datos. (a) Afectado o interesado: persona física titular de los datos que sean objeto del tratamiento Hemos hablado con cierta ligereza de varios términos fundamentales. Creo que puede ser apropiado abundar en ciertas descripciones, remarcando las diferencias entre unos y otros. Diferencias entre el término responsable del fichero y responsable de tratamiento: Responsable del fichero: es quien decide la creación del fichero, su aplicación, su finalidad, contenido y uso. Guía 8: Adaptación de empresas a la LOPD. Proyecto Amatic. Pág. 9

10 Tema 1. Fundamentos de la protección de datos personales Responsable del tratamiento: es quien adopta decisiones sobre las concretas actividades de un determinado tratamiento de datos. Dentro de lo que es un responsable del fichero o del tratamiento, también podemos distinguir entre: Responsable de seguridad: persona encargada de controlar y coordinar las medidas de seguridad implantadas. Usuario: sujeto autorizado para acceder o tratar datos de carácter personal Otro aspecto que conviene remarcar es la diferencia entre responsable del fichero o tratamiento y el encargado del tratamiento: Responsable del fichero o tratamiento: es quien decide las características del fichero o tratamientos a realizar. Encargado de tratamiento: es quien ejecuta materialmente las decisiones del responsable del fichero o tratamiento en relación al fichero, es decir, no tiene capacidad o poder de decisión sobre el tratamiento que realiza. Ámbito Objetivo La LOPD y su Reglamento de desarrollo se aplican a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado. En atención a la definición anterior conviene, en primer lugar, determinar que se entiende por dato de carácter personal para, a continuación, definir los conceptos de tratamiento y fichero : Datos de carácter personal: cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables. Se considera que una persona es identificable, cuando su identidad puede determinarse, directa o indirectamente, mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social, siempre y cuando no requiera plazos o actividades desproporcionados. De lo dicho anteriormente, si trato información que hace referencia a direcciones de personas, DNI, fotografías, matrículas, nombre y apellidos estoy tratando datos de carácter personal. Hay veces que trato este tipo de datos y el RLOPD nos dice que no deberían recibir tal clasificación y los excluye de su ámbito de aplicación: Guía 8: Adaptación de empresas a la LOPD. Proyecto Amatic. Pág. 10

11 Tema 1. Fundamentos de la protección de datos personales (1) Personas jurídicas (2) Datos de contacto profesional cuando los utilicemos con la única finalidad de contactar con la entidad a la que pertenecen. (3) Autónomos, cuando nos dirigimos a ellos en su calidad de empresario individual. (4) Personas fallecidas Tratamiento de datos: Cualquier operación o procedimiento técnico, sea o no automatizado, que permita la recogida, grabación, conservación, elaboración, modificación, consulta, utilización, cancelación, bloqueo o supresión, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias (art. 5 del RLOPD). Con la anterior definición que nos proporciona el RLOPD, vemos que la mera conservación de un fichero con este tipo de información, aunque no se haga nada más que conservarlo, ya se considera tratamiento. Fichero: Todo conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso (art. 5. Del RLOPD). Aquí cabe enfatizar que el concepto de fichero en el ámbito de esta Ley es mucho más abstracto y genérico que el mismo término en el ámbito informático. Por eso consideramos que el fichero clientes, que puede aparecer un muchas empresas, es sólo uno, al margen que podamos encontrar datos referidos a clientes en multitud de ficheros, informáticamente hablando, como puede ser en el CRM, en un ERP, en nuestra agenda, en informes, en contabilidad, en facturación, en móviles La legislación excluye de su ámbito de aplicación aquellos datos de carácter personal que tengan por objeto: (1) Actividades exclusivamente personales o domésticas (2) Materias clasificadas. (3) La investigación del terrorismo y de formas graves de delincuencia organizada. Obligaciones del responsable del fichero Como ya podemos suponer, el responsable tendrá diversas obligaciones y las podemos clasificar en tres grupos. Más tarde lo veremos con más detalle, pero avancemos una pequeña clasificación. Legalización Una vez visto el ámbito de aplicación, si tratamos ficheros de de datos de Guía 8: Adaptación de empresas a la LOPD. Proyecto Amatic. Pág. 11

12 Tema 1. Fundamentos de la protección de datos personales carácter personal, tendré que inscribir dicho fichero en el Registro General de Protección de Datos, al que nos referiremos como RGPD, de la Agencia Española de Protección de Datos o en sus homónimos autonómicos. El incumplimiento de esta obligación puede acarrear sanciones desde 600 hasta , en función de si se considera la infracción leve o grave. El RGPD se puede consultar desde la propia web de la Agencia, con lo que es un fichero público y que está al alcance de cualquiera, sin siquiera tener que identificarse. Es por esto que las entidades que no tienen sus ficheros registrados están muy expuestas a denuncias, desde la propia web, de forma rápida y muy sencilla. Legitimación Al margen que tenga mis ficheros inscritos en la AEPD, los procesos de recogida de datos, de tratamiento de los mismos y cualquier posible cesión deben de estar regidos por uno principios rectores de la protección de datos establecidos por la normativa, en diferentes artículos De esta manera hablaremos de estos principios, citados en los correspondientes artículos: (1) Calidad... 4 (2) Deber de información... 5 (3) Consentimiento... 6 (4) Datos especialmente protegidos... 7 (5) Datos de salud... 8 (6) Confidencialidad... 9 (7) Seguridad (8) Cesión de datos (9) Acceso por terceros Protección Aquí nos habla básicamente que el responsable del fichero o de tratamiento, así como el encargado de tratamiento, si lo hubiera, están obligados a adoptar las medidas de índole técnica y organizativas necesarias para garantizar la seguridad de los datos de carácter personal. detalle. Más adelante, en temas siguientes, hablaremos de estos aspectos con más Guía 8: Adaptación de empresas a la LOPD. Proyecto Amatic. Pág. 12

13 Tema 2: Legalización Proyecto

14 Tema 2. Legalización Contenido tema 2: legalización Concepto de Fichero Tipos de ficheros Registro de ficheros Objetivo: entender el término fichero desde el punto de vista de la LOPD, así como clasificarlos atendiendo a varios criterios. También se expondrá los procedimientos para la inscripción en la Agencia Española de Protección de Datos. Guía 8: Adaptación de empresas a la LOPD. Proyecto Amatic. Pág. 14

15 Tema 2. Legalización Concepto de fichero Empecemos por definir el término fichero, tal cual lo describe el RLOPD, en su artículo 5.1: Fichero: Todo conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso. De esta definición se extrae que la LOPD considera que existe un fichero de datos de carácter personal cuando: 1. Hay información de carácter personal 2. Dichos datos tiene cierta organización u orden 3. Da igual que se trate la información en una base de datos, en un procesador de textos, en fichas manuscritas, en planillas, con tarjetas de visita Así como en información en soporte papel, puede haberla que se considere fichero o no, en función de la ordenación del mismo y del esfuerzo que suponga acceder a la misma, cuando el soporte sea informático siempre se considerará fichero, porque existen herramientas de búsqueda que facilitan el acceso al mismo, pese a que la organización y ordenación no sea muy claras. Ya convinimos que existe información personal, que aunque se organice como un fichero, queda excluida del ámbito de la ley, como pueden ser: 1. Los que podemos tener las personas físicas en nuestras actividades domésticas o exclusivamente personales 2. La información sobre materias clasificadas 3. Todo lo relativo a la investigación de terrorismo o formas graves de delincuencia organizada, como pueden ser mafias, etc. Los responsables de ficheros están obligados a declarar la existencia de los ficheros, antes de su creación, a la Agencia competente. Tipos de ficheros Según la clasificación a la que atendamos, los ficheros se pueden clasificar de un tipo u otro. En función de la titularidad del fichero Guía 8: Adaptación de empresas a la LOPD. Proyecto Amatic. Pág. 15

16 Tema 2. Legalización Para esta clasificación se tiene en cuenta la naturaleza del responsable del fichero, del titular. Según este aspecto, podemos hablar de: 1. Fichero privado. Para determinar este aspecto, citamos el artículo 5.1 del RLOPD: a. las personas, empresas o entidades de derecho privado, con independencia de quien ostente la titularidad de su capital o de la procedencia de sus recursos económicos b. las corporaciones de derecho público, en cuanto dichos ficheros no se encuentren estrictamente vinculados al ejercicio de potestades de derecho público que a las mismas atribuye su normativa específica 2. Fichero público, de igual modo citamos el texto legal En función del sistema de tratamiento a. los órganos constitucionales o con relevancia constitucional del Estado o las instituciones autonómicas con funciones análogas a los mismos, las Administraciones públicas territoriales, así como las entidades u organismos vinculados o dependientes de las mismas b. las Corporaciones de derecho público siempre que su finalidad sea el ejercicio de potestades de derecho público En este caso atenderemos al grado de automatización en el tratamiento de los datos, que según el artículo 5.2 del RLOPD puede ser: 1. Fichero automatizado. Aquellos ficheros cuyo sistema de tratamiento es totalmente automatizado. 2. Fichero no automatizado. Aquellos ficheros cuyo sistema de tratamiento es no automatizado a manual. Muchas veces nos referiremos a ellos como manual. 3. Ficheros parcialmente automatizados. Más conocidos como mixtos. Son ficheros que su tratamiento se realiza de forma automatizada y no automatizada. Registro de ficheros Como ya sabemos, es obligatoria la inscripción de los ficheros ante la AEPD en los términos que hemos hablado, antes de la creación de dicho fichero. De igual modo cualquier modificación o la propia supresión también ha de comunicarse. El artículo 39.2 de la LOPD concreta con claridad el contenido del registro, Guía 8: Adaptación de empresas a la LOPD. Proyecto Amatic. Pág. 16

17 Tema 2. Legalización indicando que serán objeto de inscripción en el RGPD: Procedimiento 1. Los ficheros de titularidad pública 2. Los ficheros de titularidad privada 3. Las autorizaciones a que se refiere la presente ley 4. Los códigos tipo a que se refieren el artículo 32 de la LOPD 5. Los datos para el ejercicio de los derechos ARCO, más adelante comentados con más detalle. La notificación del registro se hará a través de los formularios aprobados por la Autoridad de Control. También se podrá realizar a través de aplicaciones específicas creadas para este objetivo. La forma más habitual y sencilla es realizarlo a través de Internet, mediante los formularios on-line que la Agencia pone a nuestra disposición. Cabe hacer notar que en determinadas autonomías, como más adelante veremos, existe una autoridad de control autonómica y es a ésta a donde hay que dirigirse para tramitar el registro. Más tarde la propia autoridad de control trasladará la inscripción al RGPD. Si todo el trámite ha sido correcto, el propio de Director de la AEPD acuerda la inscripción del fichero y no informa por correo postal del código de inscripción del fichero notificado. En caso contrario, que exista alguna deficiencia o similar, el Registro se dirigirá al responsable de fichero para que subsane o complete la inscripción, dándonos un plazo de 10 días hábiles. La información facilitada en el registro del fichero siempre tiene que estar acorde con la realidad del fichero, con lo que cualquier modificación pertinente del mismo ha de notificada de igual modo. Caso similar ocurre con la supresión de un fichero, que también ha de ser notificada a la Agencia. Tengamos en cuenta algunas pequeñas diferencias entre el procedimiento del registro de un fichero de titularidad pública y privada. 1. Pública. a. El registro lo realiza el órgano competente de la Administración responsable del fichero. b. Se ha de realizar en los 30 días siguientes a la publicación de Guía 8: Adaptación de empresas a la LOPD. Proyecto Amatic. Pág. 17

18 Tema 2. Legalización 2. Privada. la creación del fichero. c. Ha de dirigirse a la Autoridad de Control competente a. El registro lo realiza la persona o entidad privada que es o será responsable del fichero. b. El alta se ha de realizar antes de la creación del fichero. c. Ha de dirigirse a la Agencia Española de Protección de datos. Contenido Muchas personas creen erróneamente que a la Agencia se le comunica el contenido de los ficheros que se inscriben. Nunca se comunica el contenido, sino ciertos aspectos de los mismos, entre los cuales están: 1. Responsable del fichero. 2. Identificación del fichero, su nombre. 3. La descripción de su finalidad y uso previsto 4. El sistema de tratamiento. 5. El colectivo de personas de los que tratan los datos. 6. La procedencia de los datos. 7. Las categorías de los datos. 8. El nivel de medidas de seguridad exigible. La información antes citada siempre si comunica a la Agencia. Además, si lo hubiera, también se le indica: 1. Encargado de tratamiento. 2. Transferencias internacionales. 3. Destinatarios de cesiones. Criterios a considerar De forma muy breve comentar algunos aspectos extraídos del RLOPD y de informes de la propia Agencia. 1. Si un fichero existe en diferentes soportes, sólo se declara una vez 2. Si un fichero lo crean varias entidades a la vez, de forma que tienen varios responsables, cada uno de esos responsables tiene que notificar dicha creación 3. Si un fichero tuviera un tipo de arquitectura que implica que está disperso o fragmentado en diferentes ubicaciones, se declarará la Guía 8: Adaptación de empresas a la LOPD. Proyecto Amatic. Pág. 18

19 Tema 2. Legalización ubicación principal o sede más importante y se indicará en texto libre que existen otras tantas ubicaciones como centros asistenciales de la misma. Guía 8: Adaptación de empresas a la LOPD. Proyecto Amatic. Pág. 19

20 Tema 3: Legitimación Proyecto

21 Tema 3. Legitimación Contenido tema 3: legitimación Principio de calidad Principio de información Principio de consentimiento Datos especialmente protegidos Datos de salud Confidencialidad Principio de Cesión Principio de acceso a datos Objetivo: entender los principios rectores de la protección de datos personales, deteniéndonos para enfatizar la importancia en el tratamiento de datos especialmente protegidos. Guía 8: Adaptación de empresas a la LOPD. Proyecto Amatic. Pág. 21

22 Tema 3. Legitimación Principio de calidad. El principio de calidad viene profusamente descrito en el artículo 4 de la LOPD. De ahí extraemos literalmente el siguiente texto: 1. Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido. 2. Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. No se considerará incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos. 3. Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado. 4. Si los datos de carácter personal registrados resultaran ser inexactos, en todo o en parte, o incompletos, serán cancelados y sustituidos de oficio por los correspondientes datos rectificados o completados, sin perjuicio de las facultades que a los afectados reconoce el artículo 16 de la LOPD. 5. Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados. No serán conservados en forma que permita la identificación del interesado durante un período superior al necesario para los fines en base a los cuales hubieran sido recabados o registrados. Reglamentariamente se determinará el procedimiento por el que, por excepción, atendidos los valores históricos, estadísticos o científicos de acuerdo con la legislación específica, se decida el mantenimiento íntegro de determinados datos. 6. Los datos de carácter personal serán almacenados de forma que permitan el ejercicio del derecho de acceso, salvo que sean legalmente cancelados. 7. Se prohíbe la recogida de datos por medios fraudulentos, desleales o ilícitos. este tema: De igual modo, el RLOPD en su artículo 8 también concreta aspectos sobre 5. [ ] Si los datos de carácter personal sometidos a tratamiento resultaran ser inexactos, en todo o en parte, o incompletos, serán cancelados y sustituidos de oficio por los correspondientes datos rectificados o completados en el plazo de diez días desde que se tuviese conocimiento de la inexactitud, salvo que la legislación aplicable al fichero establezca un procedimiento o un plazo específico para ello. Cuando los datos hubieran sido comunicados previamente, el responsable del fichero o tratamiento deberá notificar al cesionario, Guía 8: Adaptación de empresas a la LOPD. Proyecto Amatic. Pág. 22

23 Tema 3. Legitimación en el plazo de diez días, la rectificación o cancelación efectuada, siempre que el cesionario sea conocido. En el plazo de diez días desde la recepción de la notificación el cesionario que mantuviera el tratamiento de los datos, deberá proceder a la rectificación y cancelación notificada. Esta actualización de los datos de carácter personal no requerirá comunicación alguna al interesado, [ ]. 6. Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados. No obstante, podrán conservarse durante el tiempo en que pueda exigirse algún tipo de responsabilidad derivada de una relación u obligación jurídica o de la ejecución de un contrato o de la aplicación de medidas precontractuales solicitadas por el interesado. Una vez cumplido el período al que se refieren los párrafos anteriores, los datos sólo podrán ser conservados previa disociación de los mismos, sin perjuicio de la obligación de bloqueo prevista en la LOPD y el RLOPD. De todo lo anteriormente citado, se desprende que la calidad de los datos está fundamentada en tres pilares: Pertinencia: los datos de carácter personal recabados y tratados deben ser adecuados, pertinentes y no excesivos en relación con las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido. Un dato será impertinente si no es necesario para dar cumplimiento a la finalidad prevista para el tratamiento y fichero de que se trate. Un ejemplo de dato impertinente puede ser recoger el estado civil de una persona o el número de hijos para el sorteo de una bicicleta. Exactitud: el responsable del fichero tiene que velar para que los datos que trate estén actualizados y sean correctos. Tiene la obligación de corregirlos en el plazo legal de 10 días tras conocer, sea como sea, la incorrección de los mismos, sin que tenga que existir una solicitud por parte del interesado. También tiene obligación de comunicar dicha corrección a todas las entidades a las que haya cedido dicha información, en idéntico plazo. Cancelación: el responsable del fichero o del tratamiento debe cancelar los datos cuando éstos hayan dejado de ser necesarios o pertinentes para la finalidad para la que fueron recabados. Esta cancelación no tiene necesariamente que suponer el borrado. Si obligaciones legales nos impiden la eliminación, la información se tiene que bloquear de manera que no se pueda tratar por equivocación. Cuando el período en el que pueda existir alguna responsabilidad termine, sí que tendré que proceder a la supresión completa o se podrá someter a un Guía 8: Adaptación de empresas a la LOPD. Proyecto Amatic. Pág. 23

24 Tema 3. Legitimación proceso de disociación, por el que sea imposible asociar los datos almacenados con la identidad del interesado. Un ejemplo de cancelación es el cliente que nos dice que nunca más va a comprarnos. Debemos guardar su información durante el plazo de 5 años. Durante este tiempo hemos de bloquear su ficha para impedir tratar por error sus datos. Pasado este tiempo se eliminará su ficha o se procederá a realizar una disociación. Principio de información. Todo responsable de un fichero o de su tratamiento ha de comunicar a los interesados sobre la incorporación de sus datos a un fichero e informarle de los derechos que tiene. Este proceso es diferente cuando el interesado es quien nos facilita dicha información y cuando nos la facilita un tercero. Concretemos en cada uno de los casos: Cuando el interesado nos proporciona los datos El artículo 5 de la LOPD dispone que se ha de informar previamente de modo expreso, preciso e inequívoco sobre: a) La existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información. b) El carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas. c) Las consecuencias de la obtención de los datos o de la negativa a suministrarlos. d) La posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición. e) La identidad y dirección del responsable del tratamiento o, en su caso, de su representante. Los párrafos b, c y d se pueden omitir si las circunstancias no dejan duda al respecto. Por ejemplo, si me suscribo a un boletín electrónico, está claro que si no indico mi dirección de correo electrónico no podré recibir dicho boletín. La LOPD obliga a especificar estos aspectos en todo formulario o similar que se utilice en el momento de la recogida de datos. Es una de las cláusulas legales de obligado cumplimiento. Cuando los datos nos lo facilita un tercero Guía 8: Adaptación de empresas a la LOPD. Proyecto Amatic. Pág. 24

25 Tema 3. Legitimación En este caso el interesado está obligado a informar de forma expresa, precisa e inequívoca en un plazo máximo de tres meses desde la incorporación al fichero. Se le tiene que informar de los siguientes aspectos: 1. Contenido del tratamiento, 2. La procedencia u origen de los datos, 3. La existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información. 4. La posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición. 5. La identidad y dirección del responsable del tratamiento o, en su caso, de su representante Podremos no comunicar al interesado que tenemos su información en algunos supuestos: 1. El interesado ya hubiera sido informado con anterioridad sobre el tratamiento de sus datos por el responsable del fichero o tratamiento. Por ejemplo, en aquellos casos en que los datos los proporciona otra Entidad que informó al interesado de la cesión de sus datos a nuestra Organización y de la finalidad de dicha cesión no será necesario informar, de nuevo, al interesado; 2. Una Ley expresamente así lo prevea; 3. El tratamiento tenga fines históricos, estadísticos o científicos; 4. La información al interesado resulte imposible o exija esfuerzos desproporcionados, a criterio de la Autoridad de Control competente, en consideración al número de interesados, a la antigüedad de los datos y a las posibles medidas compensatorias; 5. Los datos provengan de una fuente accesible al público y sean tratados para un fin publicitario o comercial. El proceso de información La información al interesado tiene que realizarse de un modo que se pueda acreditar que tuvo lugar. Tiene que poder conservarse dicha comunicación o realizarse de un modo que no pueda negarse que dicha comunicación ha existido. En el caso del formulario en el que se recaban datos personales, técnicamente se puede conseguir que no se envíen los datos escritos hasta que el interesado no marque el aviso legar pertinente. Guía 8: Adaptación de empresas a la LOPD. Proyecto Amatic. Pág. 25

26 Tema 3. Legitimación Principio de consentimiento. El principio de consentimiento aparece en gran número de artículos a lo largo de la LOPD, así como del RLOPD. Podemos definir este principio como la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el Estado o un particular por parte del interesado. El responsable del fichero o tratamiento está obligado a obtener el consentimiento, previo e informado, del interesado para la recogida de sus datos, su tratamiento y/o cesión. El consentimiento se puede recabar de dos formas: 1. Consentimiento expreso: el interesado expresa por escritor, verbalmente o de cualquier otro modo que se habilite su aceptación del consentimiento. 2. Consentimiento tácito: el responsable informa al interesado de los aspectos que indica la LOPD en su artículo 5 y se le comunica que si no se opone a dicha solicitud de consentimiento en el plazo de 30 días se considerará que lo acepta. Este tipo de consentimiento no es válido para datos especialmente protegidos y además se tiene que poder oponer de un modo gratuito y sencillo, garantizando que la comunicación llega al interesado. Este tipo de consentimiento ha de ser renovado como mínimo cada año. De hecho se aconseja informar reiteradamente en estos casos, mediante cláusulas con tal fin en las comunicaciones periódicas que pudiera haber entre responsable e interesado, como en albaranes, facturas, recibos, boletines, etc. La ley, en su artículo 5.1, expone los requisitos que considera adecuados para que el consentimiento se considere informado, dependiendo del tipo de tratamiento para el que se solicite consentimiento. Si es consentimiento no cumple con las exigencias de la Ley, se considerará nulo y será sancionable. Además, corresponde al responsable del fichero o tratamiento probar que ha habido consentimiento. Los tipos de consentimiento en función del tratamiento son: Consentimiento para el tratamiento Cuando los datos de un interesado vayan a ser tratados, se le debe de solicitar su consentimiento describiendo las circunstancias y haciendo especial énfasis en la finalidad del mismo. Existen determinados casos en que no es necesario solicitar consentimiento. Guía 8: Adaptación de empresas a la LOPD. Proyecto Amatic. Pág. 26

27 Tema 3. Legitimación 1. Lo autorice una norma con rango de ley o una norma de derecho comunitario y, en particular, cuando concurra uno de los supuestos siguientes: El tratamiento tenga por objeto la satisfacción de un interés legítimo del responsable del tratamiento amparado por dichas normas, siempre que no prevalezca el interés o los derechos y libertades fundamentales de los interesados. El tratamiento sea necesario para que el responsable del tratamiento cumpla un deber que le imponga una de dichas normas. 2. Los datos objeto de tratamiento figuren en fuentes accesibles al público y el responsable del fichero tenga un interés legítimo para su tratamiento o conocimiento, siempre que no se vulneren los derechos y libertades fundamentales del interesado. No obstante, las Administraciones públicas sólo podrán comunicar datos recogidos de fuentes accesibles al público a responsables de ficheros de titularidad privada cuando se encuentren autorizadas para ello por una norma con rango de ley. 3. Se recojan para el ejercicio de las funciones propias de las Administraciones públicas en el ámbito de las competencias que les atribuya una norma con rango de ley o una norma de derecho comunitario. 4. Se recaben por el responsable del tratamiento con ocasión de la celebración de un contrato o precontrato o de la existencia de una relación negocial, laboral o administrativa de la que sea parte el afectado y sean necesarios para su mantenimiento o cumplimiento. 5. El tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del apartado 6 del artículo 7 de la LOPD. Sea preceptivo o no la solicitud de consentimiento, el interesado podrá oponerse al tratamiento cuando existan motivos fundados o legítimos. Cuando la Ley disponga lo contrario no opera la potestad de oponerse al tratamiento. Consentimiento para la cesión de datos Si el responsable del fichero o del tratamiento solicita el consentimiento para la cesión de datos, es imprescindible precisar: 1. El tipo de actividad que realiza el cesionario. 2. La finalidad a la que se destinará la cesión. Al igual que hemos vista anteriormente, hay circunstancia en las que no es necesario solicitar el consentimiento para la cesión, como puede ser: 1. Lo autorice una norma con rango de ley o una norma de derecho comunitario y, en particular, cuando concurra uno de los supuestos siguientes: a. La cesión tengan por objeto la satisfacción de un interés legítimo del cesionario amparado por dichas normas, siempre que no prevalezca el interés o los derechos y libertades fundamentales de los interesados. b. La cesión de los datos sea necesario para que el responsable del tratamiento cumpla un deber que le imponga una de dichas normas. Guía 8: Adaptación de empresas a la LOPD. Proyecto Amatic. Pág. 27

28 Tema 3. Legitimación 2. Los datos objeto de cesión figuren en fuentes accesibles al público y el tercero a quien se comuniquen los datos tenga un interés legítimo para su tratamiento o conocimiento, siempre que no se vulneren los derechos y libertades fundamentales del interesado. No obstante, las Administraciones públicas sólo podrán comunicar datos recogidos de fuentes accesibles al público a responsables de ficheros de titularidad privada cuando se encuentren autorizadas para ello por una norma con rango de ley. 3. La cesión responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control comporte la comunicación de los datos. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique. 4. La comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas o a las instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas y se realice en el ámbito de las funciones que la ley les atribuya expresamente. 5. La cesión entre Administraciones públicas cuando concurra uno de los siguientes supuestos: a. Tenga por objeto el tratamiento de los datos con fines históricos, estadísticos o científicos. b. Los datos de carácter personal hayan sido recogidos o elaborados por una Administración pública con destino a otra. c. La comunicación se realice para el ejercicio de competencias idénticas o que versen sobre las mismas materias. Consentimiento para tratamientos accesorios En ocasiones el responsable del fichero o del tratamiento solicita el consentimiento para una finalidad que no tiene una relación directa con el mantenimiento, desarrollo o control de la relación contractual. A ese consentimiento lo denominaremos para tratamiento accesorio. En este tipo de solicitud se debe facilitar expresar la negativa por parte del interesado a este tipo de tratamiento accesorio. El modo más habitual de cumplir con este consentimiento es dejar una casilla sin marcar, diferenciada, para que el interesado pueda no marcar para mostrar su oposición. Es el típico ejemplo de publicidad. Consentimiento para tratamientos de datos de menores de edad Todos sabemos que la mayoría de edad en España se consigue al llegar a los 18 años. Por debajo de esta edad el consentimiento para tratar sus datos se debe realizar de dos modos diferenciados, en función de la edad del menor. Con mayores de 14 años: el propio interesado puede dar su consentimiento, salvo en los casos que la Ley exija que asistan los titulares de la patria potestad o tutores. Guía 8: Adaptación de empresas a la LOPD. Proyecto Amatic. Pág. 28

29 Tema 3. Legitimación Con menores de 14 años: siempre requiere que el consentimiento lo den sus los titulares de la patria potestad o tutores. No se podrá recabar información a los menores referida a sus familiares sin el consentimiento de los mismos, salvo que sea la dirección para pedir el consentimiento paterno. El responsable tiene que conocer la edad del menor para articular el consentimiento apropiado según la edad del menor. Datos especialmente protegidos La LOPD considera datos especialmente protegidos a todos aquellos que referidos a: 1. Ideología 2. Afiliación sindical 3. Religión 4. Creencias 5. Origen racial o étnico 6. Vida sexual 7. Salud Encontramos dos artículos que tratan expresamente de estos aspectos, el 7 y el 8, y establecen: 1. La prohibición de crear ficheros con la principal finalidad de almacenar que versen sobre datos especialmente protegidos. 2. La obligatoriedad de realizar el consentimiento para cualquier tipo de tratamiento de estos datos de forma expresa para origen racial o étnico, salud o vida sexual. Además para datos referidos a ideología, afiliación sindical y religión y creencias deberá ser expreso y por escrito. La excepción de este tipo de solicitud de consentimiento será son las iglesias, sindicatos y partidos políticos para sus integrantes. Si será necesario, incluso para estas entidades, el consentimiento expreso y por escrito para cesiones. 3. Indicar de forma clara la posibilidad de oponerse a que sus datos referidos a ideología, religión o creencia sean tratados. Como habitualmente venimos refiriendo, hay excepciones a la obligatoriedad de solicitar consentimiento al interesado. 1. Lo autorice alguna ley por razones de interés general. 2. El tratamiento resulte necesario por alguna razón médica por parte de personal sujeto a secreto. 3. El tratamiento sea imprescindible para la vida del interesado o un tercero, si el interesado por alguna razón no puede darlo 4. Si el destinatario de la información sobre salud es algún organismo relacionado con el Sistema de Salud Nacional. Guía 8: Adaptación de empresas a la LOPD. Proyecto Amatic. Pág. 29

30 Tema 3. Legitimación Confidencialidad El artículo 10 de la LOPD dice: El Responsable del Fichero, así como quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal, están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo Esta obligatoriedad de secreto es por siempre y afecta a todos los actores en el tratamiento de datos, incluso a terceros. Principio de cesión Existe cesión de datos siempre que el responsable del fichero o del tratamiento revele datos de carácter personal a un individuo diferente del interesado, es decir, revele datos a un tercero. En el artículo 11 de la LOPD se establece que habrá de obtenerse un consentimiento previo e informado del interesado, según ya hemos visto. Recordamos que era imprescindible indicar, entre otros, la finalidad de la cesión y el tipo de actividad que desarrolla el cesionario. El consentimiento siempre será revocable. Para la cesión la Ley no exige contrato que regule dicha cesión, entre el responsable y el cesionario, pero es recomendable establecer por escrito los términos de dicha cesión, como puede ser la finalidad, cómo se ha obtenido el consentimiento, así como aspectos referidos a la confidencialidad y legitimación. Si cedemos los datos una vez ya disociados, no hará falta aplicar nada de lo dicho anteriormente, puesto que no se puede vincular la información facilitado con datos de carácter personal. Principio de acceso a datos Si seguimos con la LOPD, en el artículo 12 no define el acceso a datos como una excepción al principio de cesión: No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento Guía 8: Adaptación de empresas a la LOPD. Proyecto Amatic. Pág. 30

31 Tema 3. Legitimación Teniendo en cuenta estas palabras, podemos concretar que ocurre un acceso a datos, y no cesión de datos, cuando concurren estas dos circunstancias: 1. El acceso a datos de carácter personal es necesario para la prestación de un servicio 2. El beneficiario del servicio es el responsable del fichero o tratamiento, no el interesado. En este caso la Ley sí obliga a que exista un contrato previo a la efectiva prestación del servicio que regule esta relación, en el que tiene que constar como mínimo: 1. Que el encargado tratará los datos de acuerdo con las indicaciones del responsable. 2. Que el encargado sólo utilice los datos tratados para el fin regulado en el contrato. 3. No comunique los datos a otras personas. El reglamento de la LOPD nos exige diligencia en la elección del encargado y deber de vigilancia en relación al cumplimiento de la LOPD. En otras palabras, no debemos contratar ningún servicio con aquellas entidad que no comprobemos que nos dan las garantías exigidas por la Ley en el tratamiento de los datos que les encargo. El encargado del tratamiento no puede subcontratar con un tercero ningún servicio para el responsable de tratamiento salvo que haya obtenido la autorización del propio responsable. Podemos subcontratar sin autorización cuando: 1. Cuando en el propio contrato que regule el acceso a datos se haga constar que dichos servicio se podrá subcontratar y la entidad que lo realizará. 2. Que la entidad subcontratada siga las pautas de tratamiento dadas por el responsable del tratamiento. 3. Que el encargado de tratamiento y la empresa subcontratista formalicen un contrato de acceso a datos, según el artículo 12 de la LOPD. Si el encargado del tratamiento no tiene previsto la subcontratación de ningún servicio, pero por alguna razón resulta necesaria o conveniente dicho acto, tendrá que solicitar autorización al responsable. Cuando la prestación del servicio concluye, en encargado de tratamiento tiene la obligación destruir o devolver la información almacenada, así como cualquier soporte que la contuviera. Si hubiera alguna previsión legal que impidiera esa devolución o destrucción, procedería al bloqueo de dicha información. Guía 8: Adaptación de empresas a la LOPD. Proyecto Amatic. Pág. 31