Según el artículo 4.1 de la Ley Orgánica, Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como.

Documentos relacionados
Informe Jurídico 0494/2008

Gabinete Jurídico. Informe 0545/2009

Gabinete Jurídico. Informe 0299/2009

Gabinete Jurídico. Informe 0393/2010

En relación con esta cuestión, debe tenerse en cuenta que el criterio de esta Agencia, que puede resumirse del siguiente modo:

Gabinete Jurídico. Informe 405/2008

Gabinete Jurídico. Informe 0574/2009

Gabinete Jurídico. Informe 0290/2008

Gabinete Jurídico. Informe 0084/2009

Gabinete Jurídico. Informe 0033/2009

Cesión de datos de salud a aseguradoras de asistencia sanitaria por profesionales de la medicina. Informe 449/2004

Gabinete Jurídico. Informe Jurídico 0413/2008

Gabinete Jurídico. Informe 0411/2009

Conservación de datos de carácter personal relativos a los números de tarjeta de crédito de clientes. Informe 127/2006

Conservación de la Historia Clínica. Caso de jubilación o fallecimiento del médico. Informe jurídico 496/2007

CONTRATO DE PRESTACIÓN DE SERVICIOS CON ACCESO A DATOS ART. 12 LOPD

Precisamente la cuestión planteada deberá ser objeto de análisis, en primer lugar, desde la perspectiva de la Ley últimamente mencionada.

b) Que el tratamiento de datos de carácter personal por parte del subcontratista se ajuste a las instrucciones del responsable del fichero.

Aviso Legal. Entorno Digital, S.A.

El artículo 45 del Reglamento antes citado, desarrolla este precepto, precisando lo siguiente:

Ficheros creados al amparo de la Ley 12/2003, de 21 de mayo, de prevención y bloqueo de la financiación del terrorismo.

Gabinete Jurídico. Informe 0560/2009

Gabinete Jurídico. Informe 0361/2010

Gabinete Jurídico. Informe 0076/2014

El supuesto analizado constituye una cesión o comunicación de datos de carácter personal.

Comunicación de datos entre empresas de un mismo grupo. Informe 325/2004

Gabinete Jurídico. Informe 0194/2009

Diputación de Albacete. Paseo Libertad, Albacete. Tel Fax Guía

Gabinete Jurídico. Informe 0542/2009

Gabinete Jurídico. Informe jurídico 0216/2008

El encargado del tratamiento y el documento de seguridad del responsable del fichero

Gabinete Jurídico. Informe 0092/2009

Registro de Contratos de seguro con cobertura de fallecimiento. Informe 125/2006

Gabinete Jurídico. Informe 0039/2010

CONTRATO DE ACCESO A DATOS PERSONALES ENTRE RESPONSABLE DEL FICHERO

DUDAS FRECUENTES LOPD

Gabinete Jurídico. Informe 0247/2009

Gabinete Jurídico. Informe 0669/2009

Gabinete Jurídico. Informe 0636/2008

Autoridad Portuaria de Avilés ÍNDICE 1. OBJETO 2 2. ALCANCE 2 3. DOCUMENTACIÓN DE REFERENCIA 3 4. DEFINICIONES 4

que sea suficiente a estos efectos una marca lógica o el mantenimiento de otro fichero alternativo en el que se registren las bajas producidas.

Gabinete Jur?dico. Informe 0360/2013

Cambio en el Servicio de Prevención de riesgos laborales y cesión de datos de salud. Informe 391/2006

Gabinete Jurídico. Informe 0049/2009

Gabinete Jurídico. Informe 0601/2009

Gabinete Jurídico. Informe Jurídico 171/2008

Gabinete Jurídico. Informe Jurídico 0406/2008

Gabinete Jurídico. Informe 0030/2010

utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad, de conformidad con la legislación sobre la materia.

Comunicación de datos incorporados a un expediente administrativo. Informe.197/2006

Gabinete Jurídico. Informe 0600/2009

Gabinete Jurídico. Informe 0298/2009

Gabinete Jurídico. Informe 0412/2009

Pues bien, el tenor de la norma citada, especialmente a la luz de lo que señala su exposición de motivos parece indicar que la inscripción queda

Gabinete Jurídico. Informe 0081/2010

1.- Objetivo y descripción del funcionamiento

Responsabilidad del fichero de portabilidad. Informe 8/2006

Gabinete Jurídico. Informe 0238/2009

En lo que se refiere a la asignación a la Iglesia Católica, se reproduce aquí lo indicado en informe de 30 de julio de 2009 al respecto:

LA UNIVERSIDAD COLEGIO MAYOR DE CUNDINAMARCA CLAUSULAS CONTRACTUALES

Cómo afecta la Ley Orgánica de Protección de Datos de carácter personal a un Administrador de fincas y a las Comunidades de Propietarios que gestiona

Gabinete Jurídico. Informe 0516/2008

LA LEY ORGANICA DE PROTECCION DE DATOS Y LAS CONSULTAS MEDICAS

LOPD E N L A E M P R E S A

Acceso a datos escolares por padres y familiares. Informe 227/2006

El contrato de acceso a datos por cuenta de terceros

CONTRATAS Y SUBCONTRATAS NOTAS

Gabinete Jur?dico. Informe 0147/2013

REGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS FICHEROS AUTOMATIZADOS QUE CONTENGAN DATOS DE CARÁCTER PERSONAL CAPÍTULO I.- DISPOSICIONES GENERALES

ANEXO II. Los datos facilitados no serán incorporados a sistemas o soportes distintos de los del responsable del fichero.

Gabinete Jurídico. Informe 0367/2009

Gabinete Jur?dico. Informe 0382/2012

efectuar la cesión planteada, lo que exigiría analizar si en este caso existe una norma con rango de Ley que habilitase la cesión de los datos.

III. En cuanto a su contenido, el artículo 3 dispone que el Registro incorporará el número y fecha de la Apostilla, el nombre y capacidad en la que

Publicar datos de carácter personal en la web supone tratamiento automatizado de datos y exige consentimiento de los afectados.

LEY DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL CONTRATO DE PRESTACIÓN DE SERVICIOS

BOLETÍN DE NOTICIAS ABRIL Qué son ficheros de morosos LA LOPD EN EL DÍA A DÍA. Ley De Protección de Datos

REGLAMENTO SOBRE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL.

LOPD BURALTEC. Prestación de un servicio de alojamiento web en el extranjero

BREVE NOTA SOBRE CONTRATACION PUBLICA Y PROTECCION DE DATOS. José Luis PIÑAR MAÑAS Catedrático de Derecho Administrativo

Gabinete Jurídico. Informe 0346/2008

Gabinete Jurídico. Informe 0630/2009

LOPD BURALTEC. Acreditación del deber de informar al interesado

De este modo, sería posible considerar que la cesión de los datos resulta necesaria para el adecuado ejercicio de la profesión de abogado

Aplicación de las normas de protección de datos a los datos de personas fallecidas. (Informe 61/2008)

PROCEDIMIENTO DE PREVENCIÓN DE RIESGOS LABORALES. Edición: 1 Fecha aprobación: Página 1 de 10

POLÍTICA DE PRIVACIDAD DE LA SEDE ELECTRÓNICA DE LA AUTORIDAD PORTUARIA DE VALENCIA

Gabinete Jurídico. Informe 0341/2009

Ley de Protección de Datos

Gabinete Jur?dico. Informe 0176/2012

DOCUMENTO DE SEGURIDAD EMPRESA DE EJEMPLO SL

Gabinete Jur?dico. Informe 0241/2011

Gabinete Jurídico. Informe 0411/2010

PROTECCION DE DATOS Y ENSAYOS CLINICOS

JAÉN PROTECCIÓN DE DATOS S.L.U. LIMPIEZAS Y PULIMENTOS ARANDA

Tratamiento de datos en Web de contactos. Informe 469/2006

CÁMARA DE COMERCIO DE BUCARAMANGA DOCUMENTO DE SEGURIDAD

En este sentido y en cumplimiento de las disposiciones de la Ley 25/2

GUÍA PRÁCTICA. para la utilización de muestras biológicas en Investigación Biomédica

Transcripción:

Informe 0324/2009 La consulta plantea la posibilidad de implantar un sistema para el control horario de los trabajadores basado en la lectura de la huella digital y su conformidad con lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), y en el Real Decreto 1720/2007, de 21 de diciembre, que aprueba el Reglamento de dicha Ley. I La cuestión sometida al parecer de esta Agencia ya ha sido planteada en otras ocasiones, siendo uniforme la respuesta dada a la misma. Así, cabe reproducir el informe de 28 de febrero de 2006, en que se señalaba lo siguiente: Para resolver las cuestiones planteadas debe partirse del análisis de la incidencia que los datos biométricos tienen en el ámbito de aplicación de la Ley Orgánica 15/1999. Son datos biométricos aquellos aspectos físicos que, mediante un análisis técnico, permiten distinguir las singularidades que concurren respecto de dichos aspectos y que, resultando que es imposible la coincidencia de tales aspectos en dos individuos, una vez procesados, permiten servir para identificar al individuo en cuestión. Así se emplean para tales fines las huellas digitales, el iris del ojo, la voz, etc. Por su parte, el artículo 3 a) de la Ley Orgánica 15/1999, define los datos de carácter personal como cualquier información concerniente a personas físicas identificadas o identificables. En este sentido debe indicarse que, si bien el tratamiento de los datos biométricos no revela nuevas características referentes al comportamiento de las personas, sí permite, lógicamente, su identificación, por lo que resulta evidente que, en caso de procederse a su tratamiento dicho tratamiento deberá ajustarse a la Ley Orgánica 15/1999. Según el artículo 4.1 de la Ley Orgánica, Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como

someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido. El problema se planteará entonces en determinar si el tratamiento de la huella digital puede ser considerado excesivo para el fin que motiva dicho tratamiento En el caso planteado, tratándose del tratamiento de la huella digital, la información contenida en dicho dato no contiene ningún aspecto concreto de la personalidad y tan sólo cuando dicha información se vincula a la identidad de una persona es posible identificarla con toda certeza, de modo que los datos que se recaban no pueden considerarse de mayor trascendencia que los relativos a un número personal, a una ficha que tan solo pueda utilizar una persona o a la combinación de ambos. Por otra parte, en cuanto a la necesidad de que el interesado preste su consentimiento (o pueda oponerse) al tratamiento de su huella digital, debe indicarse que si bien el artículo 6.1 de la LOPD exige el consentimiento del interesado para el tratamiento automatizado de los datos de carácter personal, el artículo 6.2 prevé que no será preciso el consentimiento cuando los datos se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento. En este caso, del tenor de la consulta parece deducirse que el tratamiento al que se hace referencia trae su origen, precisamente de la necesidad de asegurar el debido cumplimiento de las obligaciones derivadas de la relación laboral que vincula al trabajador con la empresa, lo que unido a lo hasta ahora señalado parece permitir el tratamiento de los datos. En efecto, en el ámbito de la relación jurídica que existe entre los trabajadores y el empresario al que prestan sus servicios, debe entenderse adecuado que éste recabe los datos que sean precisos para el normal desenvolvimiento de la misma y, dentro de estos datos, parece adecuado que se recaben del trabajador los necesarios para su identificación, a efectos de garantizar las medidas de seguridad que se consideren oportunas por parte de la empresa para que por la misma se pueda comprobar el grado de cumplimiento de las obligaciones que competen a los trabajadores. Ello no obstante, deberá darse cumplimiento a lo dispuesto en el artículo 5 de la Ley Orgánica 15/1999, dado que si bien no será preciso el consentimiento del interesado, si deberá advertirse al mismo de los extremos contenidos en ese precepto y, especialmente, de las consecuencias disciplinarias que podría acarrear su negativa a que la huella sea tratada.

Al propio tiempo, debe recordarse que los datos a los que se viene haciendo referencia podrían ser utilizados por el empresario única y exclusivamente para la función de control de la presencia del trabajador, tal y como se ha venido señalando, pero no para ninguna otra finalidad distinta, puesto que el artículo 4.2 de la Ley Orgánica 15/1999 dispone claramente que Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. Además, en lo atinente a las medidas de seguridad en el tratamiento, debe señalarse que, teniendo en cuenta lo que se ha indicado en cuanto al dato biométrico de la huella digital, el mismo no puede ser considerado en modo alguno dato especialmente protegido o sensible, por lo que resultarán de aplicación al tratamiento las medidas de seguridad de nivel básico, previstas en el Reglamento de Seguridad, aprobado por Real Decreto 994/1999, de 11 de junio. Por último, dado que en el presente supuesto nos encontramos ante un fichero de titularidad privada, el fichero creado habrá de ajustarse a las consideraciones contenidas al respecto en el artículo 26 de la Ley 15/1999, lo que implica entre otras la obligación de su notificación al Registro General de Protección de Datos de esta Agencia. Sentado lo anterior, es preciso tener en cuenta que, en el supuesto planteado estamos ante trabajadores de dos administraciones u órganos públicos diferentes, la mancomunidad por una parte y una de las comunidades que la componen por otra, y que en las instalaciones o edificio de la mancomunidad prestarían sus servicios los trabajadores de otra administración empleadora, de modo que cada una estaría legitimada para tratar los datos laborales de sus trabajadores para el correcto desenvolvimiento de la relación laboral o administrativa con los mismos. Esta circunstancia, aunque no se aclara en la consulta nada al respecto, parece evidenciar la existencia de una relación jurídica entre ambas administraciones en virtud de la cual, una de ellas cedería el uso de determinadas dependencias o instalaciones de su edificio para la prestación de servicios por los trabajadores de la otra. La posibilidad de que la comunidad utilice para el control horario de sus empleados el sistema de captación de la huella digital que va a implantar la mancomunidad para sus trabajadores supone, desde la óptica de la protección de datos de carácter personal, el acceso por la mancomunidad a los datos de control horario de los trabajadores de la otra empleadora que requeriría el consentimiento de éstos conforme señalan los artículos 6.1 y 11.1 de la Ley Orgánica 15/1999, teniendo en cuenta que el acceso es una cesión o II

comunicación de datos definida en el artículo 3 i) como toda revelación de datos realizada a una persona distinta del interesado. III No obstante, la pretensión de la comunidad podría encajar en la figura del encargado del tratamiento definido en el artículo 3 g) de dicha Ley como la persona física o jurídica, de naturaleza pública o privada, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento. De modo que la comunidad encargaría el tratamiento del dato de la huella dactilar de sus trabajadores, a la mancomunidad con la finalidad específica de control horario de trabajo, para lo cual, deberán ambas empleadoras suscribir el contrato previsto en el artículo 12 de la Ley Orgánica 15/1999, y en el Capítulo III del Título II del Reglamento que la desarrolla, caracterizado por las siguientes especialidades: a) En primer lugar, será preciso que la actuación del encargado del tratamiento se limite a la prestación de los servicios objeto de la contratación. A tal efecto dispone el artículo 20.1 del Reglamento de desarrollo de la Ley Orgánica 15/1999 que se considerará que existe comunicación de datos cuando el acceso tenga por objeto el establecimiento de un nuevo vínculo entre quien accede a los datos y el afectado. b) En lo que atañe a los requisitos formales, el artículo 12.2 de la Ley Orgánica impone que la realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas. c) Por lo que respecta al periodo de conservación de los datos, el artículo 12.3 establece que una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento. Añade el artículo 20.3 del Reglamento que no obstante, el encargado del tratamiento no incurrirá en responsabilidad cuando, previa indicación expresa del responsable, comunique los datos a un tercero designado por aquél, al que hubiera encomendado la prestación de un servicio conforme a lo previsto en el presente capítulo. El artículo 22.1 reitera esta previsión, al indicar que una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento o al encargado que éste hubiese designado, al igual que cualquier soporte o

documentos en que conste algún dato de carácter personal objeto del tratamiento. d) Por otra parte, a fin de preservar los derechos del encargado frente a posibles responsabilidades derivadas de su actuación, dispone el artículo 22.1 del Reglamento que el encargado del tratamiento conservará, debidamente bloqueados, los datos en tanto pudieran derivarse responsabilidades de su relación con el responsable del tratamiento. e) En lo referente a la posible subcontratación de los servicios prestados, el artículo 21 del Reglamento permite esta posibilidad en caso de que el responsable del fichero apodere al encargado para la celebración del segundo contrato en nombre de aquél o cuando se den los requisitos especificados en el apartado 2 del citado precepto: - Que se especifiquen en el contrato los servicios que puedan ser objeto de subcontratación y, si ello fuera posible, la empresa con la que se vaya a subcontratar. SI dicha circunstancia no se hubiera previsto en el contrato, deberá procederse a su modificación posterior, conforme al artículo 22.3. Igualmente, en caso de que en el contrato no conste la identificación de la empresa subcontratista será preciso que el encargado del tratamiento comunique al responsable los datos que la identifiquen antes de proceder a la subcontratación. - Que el tratamiento de datos de carácter personal por parte del subcontratista se ajuste a las instrucciones del responsable del fichero. - Que el encargado del tratamiento y la empresa subcontratista formalicen el contrato previsto en el artículo 12 de la Ley Orgánica. f) En cuanto a las medidas de seguridad que hayan de ser adoptadas por quienes realicen trabajos de tratamiento de datos por cuenta de tercero, habrán de ser, en principio, las mismas que las impuestas al responsable del fichero, tal y como se desprende de lo previsto en los artículos 9 y 12.2 de la Ley Orgánica, detallando el artículo 82 del Reglamento el modo en que deberán implantarse las medidas. g) Por último, según el artículo 12.4, en el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado, también, responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente, siendo, en consecuencia, de aplicación el régimen sancionador establecido en los artículos 43 y siguientes de la Ley, sujetando el primero de ellos al encargado del tratamiento a dicho régimen. Todo ello en aplicación de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal.

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback