LEY DE PROTECCIÓN DE DATOS: EMPRESA PRIVADA TIPOS DE FICHEROS. SUJETOS PARTICIPANTES Módulo 2/ Unidad 2
ÍNDICE DE CONTENIDOS 1.- INTRODUCCIÓN... 3 2.- OBJETIVOS... 3 3.- JUSTIFICACIÓN... 4 4.- FICHEROS CON DATOS DE CARÁCTER PERSONAL... 4 5.- CLASES DE FICHEROS CON DATOS DE CARÁCTER PERSONAL... 5 6.- SUJETOS INTERVINIENTES... 13 7.- RESUMEN... 15 8.- BIBLIOGRAFÍA... 16 9.- GLOSARIO... 16 2
1.- INTRODUCCIÓN Según el artículo 3 de la LOPD hay que entender por fichero "todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso" y por dato de carácter personal "cualquier información concerniente a personas físicas identificadas o identificables". Si nos ponemos a reflexionar sobre estas dos definiciones enseguida nos daremos cuenta de que prácticamente la totalidad de las empresas maneja datos en un conjunto organizado: por ejemplo, los datos de los trabajadores, de los clientes, de los proveedores etc... Es francamente difícil actuar en el tráfico sin manejar datos de carácter personal. Alguien enseguida dirá que su negocio está exclusivamente orientado a las personas jurídicas y por tanto no le es aplicable las anteriores definiciones. Bueno, es fácil salir de dudas: si acudimos a un contrato celebrado con cualquier mercantil es altamente probable que haya datos de carácter personal (por ejemplo una persona que actúa por cuenta de la persona jurídica). O por ejemplo, cuando mandamos un mail a nuestro contacto en el banco o a nuestra asesoría legal, a buen seguro que nos dirigimos a una persona en concreto. Por tanto, en mi opinión es que en entornos empresariales la realidad es que se manejan datos de carácter personal. Otra cosa es la discusión de si se trata de un conjunto organizado o no, pero ya eso es otro debate. 2.- OBJETIVOS Conocer la casuística de posibilidades ante la que se puede enfrentar un analista de la Protección de datos de carácter personal partiendo de la diversidad de ficheros que se pueden detectar. Aclarar conceptos relativos a ficheros y sujetos. 3
3.- JUSTIFICACIÓN La LOPD tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar. La LOPD establece su ámbito de aplicación en el artículo 2, al establecer que la presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado cuando: a) El tratamiento sea efectuado en territorio español en el marco de las actividades de un establecimiento del responsable del tratamiento. b) Cuando al responsable del tratamiento no establecido en territorio español, le sea de aplicación la legislación española en aplicación de normas de Derecho Internacional público. c) Cuando el responsable del tratamiento no esté establecido en territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, salvo que tales medios se utilicen únicamente con fines de tránsito. 4.- FICHEROS CON DATOS DE CARÁCTER PERSONAL Así, para la determinación de qué concretos Ficheros o Datos de carácter personal entran dentro del ámbito de aplicación de la LOPD debemos tener en cuenta tres conceptos: dato personal, fichero y tratamiento. Debemos entonces abarcar el concepto de dato de carácter personal como núcleo central de protección. El RLOPD lo define como cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables, que describe de una manera más pormenorizada que la que establecía la LOPD que lo definía como cualquier información concerniente a personas físicas identificadas o identificables. Así, de cara a la ley, dato de carácter personal es cualquier elemento que permite determinar, de manera directa o indirecta, la identidad física, fisiológica, psíquica, económica, cultural o social de una persona física. Fichero, lo entenderemos como un conjunto organizado de datos de carácter personal, cualquiera que sea la forma o modalidad de su creación, almacenamiento, organización y acceso. Es, por tanto, el soporte físico, sea automatizado o no, en el que se recoge y almacena, de manera organizada, el conjunto de datos que integra la información. Por su parte, Tratamiento, lo debemos entender como las operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, 4
grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias. Si bien entendemos que los ficheros de datos de carácter personal que se mantengan en soporte informático o telemático no presentan grandes dudas para su determinación, puesto que para su creación se exige, con carácter previo, la grabación, depuración y estructuración de una forma determinada, no sucede lo mismo para los ficheros en soporte papel (o ficheros no automatizados). Para poder determinar cuando los datos registrados en soporte papel son susceptibles de tratamiento, y en consecuencia, se encuentren incluidos en el ámbito de aplicación de la LOPD, hay que atender a los siguientes requisitos: Que el tratamiento no automatizado se refiera a datos comprendidos en un Fichero en soporte papel. Y, que dichos datos se encuentren organizados estructurados u ordenados por criterios específicos. no considerándose, en consecuencia Fichero, la existencia de carpetas no estructuradas, aunque estás contengan datos de carácter personal (por ejemplo: en una consulta médica las carpetas o fichas de pacientes ordenadas alfabéticamente por el nombre de los mismos, se consideraría un fichero susceptible de tratamiento, siéndole por tanto de aplicación la LOPD). De este modo, la Ley concibe los Ficheros protegidos desde una perspectiva dinámica; es decir, no los entiende como un mero depósito de datos, sino, como una globalidad de procesos o aplicaciones que se llevan a cabo con los datos almacenados (por ejemplo: en la consulta médica en la que los datos de los pacientes están recogidos en fichas, las mismas no suponen un mero deposito de datos, sino que permiten al médico efectuar un análisis de las distintas visitas que ha efectuado el paciente, revisar la historia clínica del paciente, y ofrecer un tratamiento o diagnóstico que se adapte a las circunstancias concretas de cada paciente). 5.- CLASES DE FICHEROS CON DATOS DE CARÁCTER PERSONAL En base a esto, procedamos a la clasificación de los ficheros que contengan datos de carácter personal. Atendiendo al soporte: Ficheros automatizados Ficheros no automatizados Atendiendo al titular: Ficheros titularidad privada Ficheros titularidad pública 5
Atendiendo a su contenido: Ficheros para la prestación de servicios sobre solvencia patrimonial y crédito Ficheros para el tratamiento con fines de publicidad y prospección comercial. Fuentes accesibles al público Fichero de nóminas o recursos humanos Ficheros excluidos Ficheros especiales Ficheros temporales Fichero de facturación y tráfico en servicio de comunicaciones electrónicas Ficheros de cumplimiento o incumplimiento de obligaciones dinerarias facilitados por el acreedor o por quién actúe por su cuenta o interés. Ficheros comunes de exclusión Fichero relativo a la salud Datos disociados Procedamos a su estudio, empezando por el tipo de soporte. Debemos entender soporte, como lo define el RLOPD, como objeto físico que almacena o contiene datos o documentos, u objeto susceptible de ser tratado en un sistema de información y sobre el cual se pueden grabar y recuperar datos. Por lo tanto, debemos entender fichero automatizado como todo conjunto de datos de carácter personal organizado de forma automatizada a través de algún sistema de información y estructurado conforme a criterios específicos relativos a personas físicas, que permitan acceder sin esfuerzos desproporcionados a sus datos personales, ya sea aquél centralizado, descentralizado o repartido de forma funcional o geográfica. Por otra parte, debemos entender fichero no automatizado como todo conjunto de datos de carácter personal organizado de forma no automatizada y estructurado conforme a criterios específicos relativos a personas físicas, que permitan acceder sin esfuerzos desproporcionados a sus datos personales, ya sea aquél centralizado, descentralizado o repartido de forma funcional o geográfica. Ambos ficheros están dentro del ámbito de aplicación de la LOPD y por lo tanto, están sometidos a todo el conjunto de derechos, requerimientos y obligaciones que se recogen en dicha normativa. Atendiendo al titular del fichero, podemos distinguir. Ficheros de titularidad privada, son aquellos ficheros de los que sean responsables las personas, empresas o entidades de derecho privado, con independencia de quien ostente la titularidad de su capital o de la procedencia de sus recursos económicos, 6
así como los ficheros de los que sean responsables las corporaciones de derecho público, en cuanto dichos ficheros no se encuentren estrictamente vinculados al ejercicio de potestades de derecho público que a las mismas atribuye su normativa específica. Ficheros de titularidad pública, son aquellos ficheros de los que sean responsables los órganos constitucionales o con relevancia constitucional del Estado o las instituciones autonómicas con funciones análogas a los mismos, las Administraciones públicas territoriales, así como las entidades u organismos vinculados o dependientes de las mismas y las Corporaciones de derecho público siempre que su finalidad sea el ejercicio de potestades de derecho público. Es muy importante esta distinción y proceder a su determinación para enfocar con seguridad la adecuación a la LOPD de una organización desde su inicio. No olvidemos que los ficheros de titularidad pública requieren de una norma de carácter general publicada en el Boletín o Diario Oficial para su creación, modificación y cancelación. Lo que parece una nimiedad a priori no lo es si nos enfrentamos a empresas de capital mixto y demás órganos o entidades de naturaleza mixta, como por ejemplo empresas públicas, colegios profesionales, cámaras de comercio, etc. Deberemos analizar las funciones y finalidades de esos sujetos con los ficheros que se pretenden legalizar. A mayor abundamiento, la importancia de esta diferenciación es tal que de ella depende toda la adecuación. Por este motivo podemos afirmar que, todas las entidades tienen obligaciones semejantes que cumplir con la Ley en la utilización de los datos personales que manejan, empezando por los de sus propios empleados, clientes, etc. Además, en algunos casos, tanto las entidades públicas como las privadas, están transfiriendo esos datos a terceros, como puede ser a las gestorías que se encargan de las nóminas, o empresas subcontratadas para realizar ciertos proyectos, etc. Estas obligaciones se regulan en la Ley Orgánica 15/1999 de 13 de diciembre, de Protección de Datos de Carácter Personal LOPD), y tienen que cumplirlas las entidades públicas y las privadas. Por ese motivo, tanto unas entidades como otras deben cuidarse de que se cumplan las obligaciones básicas en materia de protección de datos de carácter personal, que son las siguientes, esquemáticamente: Inscripción de los ficheros que contengan datos personales en el Registro de la Agencia Española de Protección de Datos (AEPD). Se trata de comunicar a la AEPD ciertas características de la información de carácter personal que se posee: su estructura, finalidad, ubicación, medidas de seguridad que se aplican, procedencia de los datos, sistema de tratamiento, encargados de tratamiento, cesiones, etc. Establecimiento de la política de seguridad interna de la empresa en el llamado Documento de Seguridad, manual que recoge los procedimientos organizativos y técnicos que garantizan la seguridad de la información de carácter personal. 7
Adopción de las medidas técnicas necesarias para asegurar el nivel de protección de los ficheros. En función de la sensibilidad de la información que se posea, las medidas de seguridad que deben adoptarse sobre los ficheros varían (la LOPD determina tres niveles: básico, medio y alto). En consonancia con estos niveles, las sanciones que impone la LOPD siguen una escala similar; son más duramente sancionadas aquellas infracciones cometidas sobre datos con mayor sensibilidad y sobre acciones que comportan más riesgo. Regulación de los movimientos de datos con terceros y transferencias internacionales. Todos los datos personales que se manejen fuera de la empresa que quiere adaptarse a la LOPD por terceros (ya sea empresa o profesional) deben estar regulados. La LOPD en este caso distingue diferentes obligaciones para cada uno de ellos: para la empresa que transmite esos datos (como responsable del fichero ) y para el receptor de los datos (como encargado del tratamiento, cuando existe una prestación de servicios, o cesionario, cuando la comunicación tiene una naturaleza diversa). Formación del personal que esté trabajando con estos datos. Es importante que exista una buena organización y cada uno asuma las competencias y responsabilidades en su trabajo con los datos personales. Es necesario realizar reuniones informativas y formativas que sensibilicen al personal. Auditoría de todas las medidas establecidas en el Documento de Seguridad, al menos cada dos años. Aunque son muchos los aspectos comunes que coinciden tanto en el sector público como en el privado, hay algunas cuestiones que diferencian la implantación de las medidas de seguridad y que hay que considerar a la hora de enfrentarse a cada proyecto. En el caso de la empresa privada, el responsable final del fichero es la sociedad, comunidad de bienes, fundación, etc. Y en la Administración, el responsable de fichero es la entidad pública, pero más en concreto, la Dirección General o dependencia que, en última instancia, decide sobre el destino y condiciones del tratamiento de datos. En la empresa privada, la declaración de ficheros se simplifica, salvo en grandes corporaciones, pues las dinámicas de tratamientos de datos son semejantes de unas empresas a otras y todos los ficheros dependen del mismo responsable de ficheros. Por el contrario, en el caso de la Administración, la declaración de ficheros exige además la publicación en diario oficial de los ficheros que se pretende declarar y de sus contenidos. Esta tarea es lenta y produce un estancamiento de los proyectos de las entidades públicas. Las entidades públicas pueden disponer de ficheros de naturaleza privada y pública, por lo que hay que hacer un ejercicio de discernimiento de los ficheros considerados según la tipología de su naturaleza. Las entidades públicas (autonómicas y locales) deben declarar sus ficheros ante la Agencia de Protección de Datos Autonómica, y en su defecto ante la nacional. Las entidades privadas sólo inscribirán sus datos en la AEPD, pues los organismos 8
análogos autonómicos sólo disponen de competencias sobre ficheros de titularidad pública). En la empresa privada, las relaciones con terceros, sobre todo en empresas grandes de ámbito multinacional, se complican bastante por la gran cantidad de relaciones con externos y por la existencia habitual de servicios centralizados corporativos en otros países (a veces con nivel de protección no equiparable al español). Respecto a la implantación de medidas de seguridad, las empresas privadas disponen de un abanico más amplio de aplicaciones adaptadas a su problemática, por lo que el cambio a nuevos sistemas o la implementación de mejoras suele ser más sencillo que en las empresas públicas con una problemática muy aislada y una oferta comercial de sistemas mucho más restringida y específica. El Documento de Seguridad depende mucho del desarrollo que haya alcanzado el departamento de IT de la compañía, pues debe armonizarse con los procedimientos desarrollados para producción, desarrollo y continuidad de negocio. Sin embargo, los Documentos de Seguridad de las administraciones públicas deben ser debidamente integrados en las políticas existentes en la entidad y son fuertemente influidos por la organización particular de cada administración. Las entidades públicas no reciben sanciones pecuniarias, sino que sus motivaciones son orientadas al mantenimiento de una buena imagen y el peso del costo político. Por el contrario, las entidades privadas pueden recibir sanciones económicas de hasta 600.000 euros. Atendiendo a su contenido, distinguiremos atendiendo a la LOPD y al reciente RLOPD Ficheros para la prestación de servicios sobre solvencia patrimonial y crédito: Establece la LOPD respecto a este tipo de ficheros que quienes se dediquen a la prestación de servicios de información sobre la solvencia patrimonial y el crédito sólo pueden tratar datos de carácter personal obtenidos de los registros y las fuentes accesibles al público establecidos al efecto o procedentes de informaciones facilitadas por el interesado o con su consentimiento. No obstante, pueden tratarse también datos de carácter personal relativos al cumplimiento o incumplimiento de obligaciones dinerarias facilitados por el creedor o por quien actúe por su cuenta o interés. En estos casos se ha de notificar a los interesados respecto de los que hayan registrado datos de carácter personal en ficheros, en el plazo de treinta días desde dicho registro, una referencia de los que hubiesen sido incluidos y se les ha de informar de su derecho a recabar información de la totalidad de ellos, en los términos establecidos por la presente Ley. En ambos casos, cuando el interesado lo solicite, el responsable del tratamiento le comunicará los datos, así como las evaluaciones y apreciaciones que sobre el mismo hayan sido comunicadas durante los últimos seis meses y el nombre y dirección de la persona o entidad a quien se hayan revelado los datos. Sólo se podrán registrar y ceder los datos de carácter personal que sean determinantes para enjuiciar la solvencia económica de los interesados y que no se refieran, cuando sean adversos, a más de seis años, siempre que respondan con veracidad a la situación actual de aquellos. 9
Ficheros para el tratamiento con fines de publicidad y prospección comercial: Establece la LOPD respecto a este tipo de ficheros que quienes se dediquen a la recopilación de direcciones, reparto de documentos, publicidad, venta a distancia, prospección comercial y otras actividades análogas, utilizarán nombres y direcciones u otros datos de carácter personal cuando los mismos figuren en fuentes accesibles al público o cuando hayan sido facilitados por los propios interesados u obtenidos con su consentimiento. En los casos que los datos procedan de fuentes accesibles al público, en cada comunicación que se dirija al interesado se informará del origen de los datos y de la identidad del responsable del tratamiento, así como de los derechos que le asisten. En el ejercicio del derecho de acceso los interesados tendrán derecho a conocer el origen de sus datos de carácter personal, así como del resto de información a la que hace referencia la LOPD. Los interesados tienen derecho a oponerse, previa petición y sin gastos, al tratamiento de los datos que les conciernan, en cuyo caso serán dados de baja del tratamiento, cancelándose las informaciones que sobre ellos figuren en aquél, a su simple solicitud. Fuentes accesibles al público. Por fuentes accesibles al público entiende la LOPD aquellos ficheros cuya consulta puede ser realizada por cualquier persona, no impedida por una norma limitativa, o sin más exigencia que, en su caso, el abono de una contraprestación. Tienen la consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público, los Diarios y Boletines oficiales y los medios de comunicación. Fichero relativo al censo electoral: Se refiere al fichero que trata quienes pretenden realizar permanente o esporádicamente la actividad de recopilación de direcciones, reparto de documentos, publicidad, venta a distancia, prospección comercial u otras actividades análogas, habiendo solicitado del Instituto Nacional de Estadística o de los órganos equivalentes de las Comunidades Autónomas una copia del censo promocional, formado con los datos de nombre, apellidos y domicilio que constan en el censo electoral. El uso de cada lista de censo promocional tiene un plazo de vigencia de un año. Transcurrido el plazo citado, la lista pierde su carácter de fuente de acceso público. Los interesados pueden solicitar no aparecer en el censo promocional. Entre estos procedimientos, que son gratuitos para los interesados, se incluye el documento de empadronamiento. Trimestralmente se editará una lista actualizada del censo promocional, excluyendo los nombres y domicilios de los que así lo hayan solicitado. Fichero relativo a la salud: será aquel que incorpore las informaciones concernientes a la salud pasada, presente y futura, física o mental, de un individuo. En particular, se consideran datos relacionados con la salud de las personas los referidos a su porcentaje de discapacidad y a su información genética. 10
Ficheros excluidos: son aquellos ficheros a los que no es de aplicación la normativa de protección de datos por excluirlos expresamente la LOPD y el RLOPD. Estos son: a) A los realizados o mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas. Sólo se considerarán relacionados con actividades personales o domésticas los tratamientos relativos a las actividades que se inscriben en el marco de la vida privada o familiar de los particulares. b) A los sometidos a la normativa sobre protección de materias clasificadas. c) A los establecidos para la investigación del terrorismo y de formas graves de delincuencia organizada. No obstante el responsable del fichero comunicará previamente la existencia del mismo, sus características generales y su finalidad a la Agencia Española de Protección de Datos. Ficheros especiales, son aquellos ficheros que aún contenido datos e carácter personal se rigen por sus disposiciones específicas, y por lo especialmente previsto, en su caso, por esta Ley Orgánica los siguientes tratamientos de datos personales: a) Los ficheros regulados por la legislación de régimen electoral. b) Los que sirvan a fines exclusivamente estadísticos, y estén amparados por la legislación estatal o autonómica sobre la función estadística pública. c) Los que tengan por objeto el almacenamiento de los datos contenidos en los informes personales de calificación a que se refiere la legislación del Régimen del personal de las Fuerzas Armadas. d) Los derivados del Registro Civil y del Registro Central de penados y rebeldes. e) Los procedentes de imágenes y sonidos obtenidos mediante la utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad, de conformidad con la legislación sobre la materia. Ficheros temporales, son aquellos ficheros de trabajo creados por usuarios o procesos que son necesarios para un tratamiento ocasional o como paso intermedio durante la realización de un tratamiento. A estos ficheros deberán de aplicarse y observarse los requerimientos establecidos en la LOPD y en el RLOPD. Fichero de facturación y tráfico en servicio de comunicaciones electrónicas. Para este tipo de ficheros la solicitud del consentimiento para el tratamiento o cesión de los datos de tráfico, facturación y localización por parte de los sujetos obligados, o en su caso la revocación de aquél, según la legislación reguladora de las telecomunicaciones se somete a lo establecido en su normativa específica y, en lo que no resulte contrario a la misma, a lo establecido en la presente sección. Ficheros de cumplimiento o incumplimiento de obligaciones dinerarias facilitados por el acreedor o por quién actúe por su cuenta o interés. Respecto a estos, sólo es posible la inclusión en estos ficheros de datos de carácter personal que sean determinantes para enjuiciar la solvencia económica del afectado, siempre que concurran los siguientes requisitos: 11
a) Existencia previa de una deuda cierta, vencida, exigible, que haya resultado impagada y respecto de la cual no se haya entablado reclamación judicial, arbitral o administrativa, o tratándose de servicios financieros, no se haya planteado una reclamación en los términos previstos en el Reglamento de los Comisionados para la defensa del cliente de servicios financieros, aprobado por Real Decreto 303/2004, de 20 de febrero. b) Que no hayan transcurrido seis años desde la fecha en que hubo de procederse al pago de la deuda o del vencimiento de la obligación o del plazo concreto si aquélla fuera de vencimiento periódico. c) Requerimiento previo de pago a quien corresponda el cumplimiento de la obligación. No puede incluirse en los ficheros de esta naturaleza datos personales sobre los que exista un principio de prueba que de forma indiciaria contradiga alguno de los requisitos anteriores. Tal circunstancia determinará asimismo la cancelación cautelar del dato personal desfavorable en los supuestos en que ya se hubiera efectuado su inclusión en el fichero. El acreedor o quien actúe por su cuenta o interés estará obligado a conservar a disposición del responsable del fichero común y de la Agencia Española de Protección de Datos la documentación suficiente que acredite el cumplimiento de los requisitos establecidos en la normativa que le resulta de aplicación. El acreedor deberá informar al deudor, en el momento en que se celebre el contrato y, los datos relativos al impago podrán ser comunicados a ficheros relativos al cumplimiento o incumplimiento de obligaciones dinerarias. El responsable del fichero común deberá notificar a los interesados respecto de los que hayan registrado datos de carácter personal, en el plazo de treinta días desde dicho registro, una referencia de los que hubiesen sido incluidos, informándole asimismo de la posibilidad de ejercitar sus derechos de acceso, rectificación, cancelación y oposición. Para cada deuda se deberá efectuar una notificación por cada deuda concreta y determinada con independencia de que ésta se tenga con el mismo o con distintos acreedores. La notificación deberá efectuarse a través de un medio fiable, auditable e independiente de la entidad notificante, que la permita acreditar la efectiva realización de los envíos. En todo caso, será necesario que el responsable del fichero pueda conocer si la notificación ha sido objeto de devolución por cualquier causa, en cuyo caso no podrá proceder al tratamiento de los datos referidos a ese interesado. En este orden de cosas, no se entenderán suficientes para que no se pueda proceder al tratamiento de los datos referidos a un interesado las devoluciones en las que el destinatario haya rehusado recibir el envío. A mayor abundamiento, si la notificación de inclusión fuera devuelta, el responsable del fichero común debe comprobar con la entidad acreedora que la dirección utilizada para efectuar esta notificación se corresponde con la contractualmente pactada con el cliente a efectos de comunicaciones y no procederá al tratamiento de los datos si la mencionada entidad no confirma la exactitud de este dato. 12
Ficheros comunes de exclusión, con el RLOPD se crea este nuevo fichero de carácter general o sectorial, en los que sean objeto de tratamiento los datos de carácter personal que resulten necesarios para evitar el envío de comunicaciones comerciales a los interesados que manifiesten su negativa u oposición a recibir publicidad. Consiguientemente, los citados ficheros podrán contener los mínimos datos imprescindibles para identificar al afectado. En estos casos, cuando el afectado manifieste ante un concreto responsable su negativa u oposición a que sus datos sean tratados con fines de publicidad o prospección comercial, aquél deberá ser informado de la existencia de los ficheros comunes de exclusión generales o sectoriales, así como de la identidad de su responsable, su domicilio y la finalidad del tratamiento. El afectado podrá solicitar su exclusión respecto de un fichero o tratamiento concreto o su inclusión en ficheros comunes de excluidos de carácter general o sectorial. La entidad responsable del fichero común podrá tratar los datos de los interesados que hubieran manifestado su negativa u oposición al tratamiento de sus datos con fines de publicidad o prospección comercial, cumpliendo las restantes obligaciones establecidas en la Ley Orgánica 15/1999, de 13 de diciembre, y en el presente Reglamento. Como consecuencia de todo ello, quienes pretendan efectuar un tratamiento relacionado con actividades de publicidad o prospección comercial deberán previamente consultar los ficheros comunes que pudieran afectar a su actuación, a fin de evitar que sean objeto de tratamiento los datos de los afectados que hubieran manifestado su oposición o negativa a ese tratamiento. 6.- SUJETOS INTERVINIENTES Respecto a los sujetos intervinientes, la protección de datos de carácter personal trae consigo la aparición de una serie de figuras que inciden en menor o mayor medida en el tratamiento de los datos. Estas figuras son: afectado o interesado, destinatario o cesionario, encargado del tratamiento, exportador de datos personales, importador de datos personales, persona identificable, responsable del fichero o del tratamiento, tercero, responsable de seguridad y usuario. Definiremos estas figuras para así entender las diferentes relaciones que se pueden dar. En este orden de cosas, varios son los sujetos a los que se refiere la normativa relativa a la protección de datos de carácter personal. Afectado o interesado: Persona física titular de los datos que sean objeto del tratamiento. Será en todos los casos el titular de los derechos enumerados en la LOPD. Destinatario o cesionario: la persona física o jurídica, pública o privada u órgano administrativo, al que se revelen los datos. Podrán ser también destinatarios los entes 13
sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados. Figuras a tener en cuenta en los supuestos de accesos y cesiones. Encargado del tratamiento: La persona física o jurídica, pública o privada, u órgano administrativo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio. Podrán ser también encargados del tratamiento los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados. La relación entre este y el responsable del fichero deberá de concretarse en un contrato específico en cumplimiento del artículo 12 LOPD y que ya hemos analizado en la correspondiente unidad. Exportador de datos personales: la persona física o jurídica, pública o privada, u órgano administrativo situado en territorio español que realice, conforme a lo dispuesto en el presente Reglamento, una transferencia de datos de carácter personal a un país tercero. Deberá de observar los requerimientos establecidos en la LOPD y en el RLOPD para llevar a cabo esa transferencia con todas las garantías para los titulares de los datos, sobre todo verificar el nivel de seguridad respecto a la protección de datos en ese país destino de los ficheros. Importador de datos personales: la persona física o jurídica, pública o privada, u órgano administrativo receptor de los datos en caso de transferencia internacional de los mismos a un tercer país, ya sea responsable del tratamiento, encargada del tratamiento o tercero. Persona identificable: toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social. Una persona física no se considerará identificable si dicha identificación requiere plazos o actividades desproporcionados. Habrá que estar a cada caso para valorar esos plazos y actividades. Responsable del fichero o del tratamiento: Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que sólo o conjuntamente con otros decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente. Podrán ser también responsables del fichero o del tratamiento los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados. Son los únicos responsables frente a terceros del incumplimiento que se pueda producir respecto a la normativa de protección de datos. Tercero: la persona física o jurídica, pública o privada u órgano administrativo distinta del afectado o interesado, del responsable del tratamiento, del responsable del fichero, del encargado del tratamiento y de las personas autorizadas para tratar los datos bajo la autoridad directa del responsable del tratamiento o del encargado del tratamiento. Podrán ser también terceros los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados. Responsable de seguridad: persona o personas a las que el responsable del fichero ha asignado formalmente la función de coordinar y controlar las medidas de seguridad 14
aplicables. No tiene responsabilidad frente a terceros, ni frente al interesado. Ello no obsta para que si pueda derivar de su falta de compromiso con el encargo responsabilidades a nivel interno. Usuario: sujeto o proceso autorizado para acceder a datos o recursos. Tendrán la consideración de usuarios los procesos que permitan acceder a datos o recursos sin identificación de un usuario físico. Es el sujeto que trabaja sobre los datos incluidos en los ficheros que contienen datos de carácter personal porque constituyen su herramienta da trabajo. Es imprescindible para el buen funcionamiento de la entidad y para el cumplimiento de esta normativa que estos sujetos conozcan la metodología de trabajo diseñado para la gestión de ficheros y documentación. No olvidemos que el usuario, además, va a ser quien atienda a los interesados en el ejercicio de sus derechos y ello va a requerir por parte del responsable del fichero unas acciones de formación y divulgación del documento de seguridad y la política de seguridad de la entidad en la que prestan sus servicios. De la misma manera, aquellos usuarios externos con acceso a datos que prestan sus servicios en las instalaciones del responsable de fichero también estarán sometidos a las mismas obligaciones y requerimientos que el personal interno. 7.- RESUMEN Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco: a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información. b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas. c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos. d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición. e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante. Cuando el responsable del tratamiento no esté establecido en el territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, deberá designar, salvo que tales medios se utilicen con fines de tránsito, un representante en España, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento. Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior. 15
No será necesaria la información a que se refieren las letras b), c) y d) si el contenido de ella se deduce claramente de la naturaleza de los datos personales que se solicitan o de las circunstancias en que se recaban. Cuando los datos de carácter personal no hayan sido recabados del interesado, éste deberá ser informado de forma expresa, precisa e inequívoca, por el responsable del fichero o su representante, dentro de los tres meses siguientes al momento del registro de los datos, salvo que ya hubiera sido informado con anterioridad, del contenido del tratamiento, de la procedencia de los datos. No será de aplicación lo dispuesto en el apartado anterior cuando expresamente una Ley lo prevea, cuando el tratamiento tenga fines históricos, estadísticos o científicos, o cuando la información al interesado resulte imposible o exija esfuerzos desproporcionados, a criterio de la Agencia de Protección de Datos o del organismo autonómico equivalente, en consideración al número de interesados, a la antigüedad de los datos y a las posibles medidas compensatorias. 8.- BIBLIOGRAFÍA Memoria de la Agencia Española de Protección de Datos año 2000, 2001 y 2006. Agencia Española de Protección de Datos M. VIZCAÍNO (2001). Comentarios a la Ley Orgánica de protección de datos de carácter personal. Civitas, Madrid. 9.- GLOSARIO Afectado o interesado: Persona física titular de los datos que sean objeto del tratamiento. Cancelación: Procedimiento en virtud del cual el responsable cesa en el uso de los datos. La cancelación implicará el bloqueo de los datos, consistente en la identificación y reserva de los mismos con el fin de impedir su tratamiento excepto para su puesta a disposición de las Administraciones públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento y sólo durante el plazo de prescripción de dichas responsabilidades. Transcurrido ese plazo deberá procederse a la supresión de los datos. Cesión o comunicación de datos: Tratamiento de datos que supone su revelación a una persona distinta del interesado. 16
Consentimiento del interesado: Toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen. Destinatario o cesionario: la persona física o jurídica, pública o privada u órgano administrativo, al que se revelen los datos. Podrán ser también destinatarios los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados. Encargado del tratamiento: La persona física o jurídica, pública o privada, u órgano administrativo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio. Podrán ser también encargados del tratamiento los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados. Persona identificable: toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social. Una persona física no se considerará identificable si dicha identificación requiere plazos o actividades desproporcionados. Responsable del fichero o del tratamiento: Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que sólo o conjuntamente con otros decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente. Podrán ser también responsables del fichero o del tratamiento los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados. Tercero: la persona física o jurídica, pública o privada u órgano administrativo distinto del afectado o interesado, del responsable del tratamiento, del responsable del fichero, del encargado del tratamiento y de las personas autorizadas para tratar los datos bajo la autoridad directa del responsable del tratamiento o del encargado del tratamiento. Podrán ser también terceros los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados. Tratamiento de datos: cualquier operación o procedimiento técnico, sea o no automatizado, que permita la recogida, grabación, conservación, elaboración, modificación, consulta, utilización, modificación, cancelación, bloqueo o supresión, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias. 17
En particular, en relación con lo dispuesto en el título VIII del Real Decreto 1720/2007, de las medidas de seguridad en el tratamiento de datos de carácter personal, se entenderá por: Accesos autorizados: autorizaciones concedidas a un usuario para la utilización de los diversos recursos. En su caso, incluirán las autorizaciones o funciones que tenga atribuidas un usuario por delegación del responsable del fichero o tratamiento o del responsable de seguridad. Responsable de seguridad: persona o personas a las que el responsable del fichero ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables. Usuario: sujeto o proceso autorizado para acceder a datos o recursos. Tendrán la consideración de usuarios los procesos que permitan acceder a datos o recursos sin identificación de un usuario físico. 18