Archivos de la etiqueta: AEPD

14Feb/18

El conflicto de intereses del DPO

EL CONFLICTO DE INTERESES DEL DPO

 

Mucho se ha escrito sobre quién puede ser el Delegado de Protección de Datos (DPO por sus siglas en inglés) de una organización; sin embargo, no nos hemos parado tanto a preguntarnos quién NO puede serlo.

En octubre de 2016, la Autoridad de Protección de Datos de Baviera (en adelante, BayLDA) multó a una empresa alemana, por ignorar la petición de designar a otro Delegado de Protección de Datos, distinto del Director IT, sobre el que se apreciaba un conflicto de intereses.

De acuerdo con la ley alemana de protección de datos (FDPA), las empresas deben designar obligatoriamente, a un DPO, externo o interno, si al menos diez personas están involucradas en el tratamiento automatizado de datos de carácter personal.

El DPO debe designarse atendiendo a sus cualidades profesionales, sobre todo teniendo en cuenta sus conocimientos especializados de la legislación, las prácticas en materia de protección de datos, y en particular a la ausencia de conflictos de interés, siendo en éste último punto donde sería necesario detenerse.

En las Directrices del Grupo de Trabajo del Artículo 29 sobre el DPO, se discute esta cuestión, señalándose que, si bien el RGPD permite a un DPO realizar “otras tareas y deberes”, la organización no deberá nombrar a un DPO que pueda detentar un cargo dentro de la organización que le lleve a determinar los fines y medios del tratamiento de datos personales.

http://www.agpd.es/portalwebAGPD/temas/reglamento/common/pdf/designacion_DPD.pdf

Como regla general, las posiciones en conflicto pueden incluir puestos de alta dirección (tales como Director General, Director de Operaciones, Departamento Legal, Director Financiero, Director de Marketing, Director de Recursos Humanos o Director de TI),  pero también otras funciones más abajo en la estructura organizativa si tales posiciones o roles conducen a la determinación de propósitos y medios de procesamiento.

Si tenemos en cuenta que el Grupo de Trabajo del Artículo 29 prevé conflictos de interés en la práctica totalidad de departamentos que componen una organización, y que existen ciertos requisitos para ser DPO (conocimientos de Derecho, especialización en protección de datos, etc.), resulta difícil que realmente esta función se pueda compatibilizar con otras funciones dentro de la empresa.

Aplicando este criterio de forma estricta (y nuestra AEPD se distingue por ser especialmente estricta en la aplicación de la norma), podríamos encontrarnos con una obligación de facto de designar o contratar a un DPO con dedicación exclusiva a protección de datos.

Como se ha comentado en varias ocasiones, esta figura puede ser externa, mediante un contrato de prestación de servicios, pero resulta dudoso que las empresas puedan aceptar que un externo tenga autoridad ejecutiva (necesaria para ejercer la función de DPO), y más cuando se trata de una figura “protegida” que no puede ser despedida por cumplir con su función.

Si las empresas no quieren o pueden asumir el coste de un DPO interno, es probable que se vean en la necesidad de ceder parte de su autoridad a un DPO externo.

Marina Medela

Departamento Legal

Áudea Seguridad de la Información

 

14Feb/18

Data brokers, mercaderes de la intimidad

Data brokers, mercaderes de la intimidad

A día de hoy existen 4 grandes operadores digitales a nivel mundial: Apple, Microsoft, Facebook y Google, a los cuales vendemos nuestra alma digital al aceptar los términos y condiciones de uso del servicio, que si bien a priori son gratis, el coste es otro, como veremos a continuación.

Sin embargo, detrás de estos operadores más o menos legitimados, encontramos un sinfín de compañías sin sus recursos, pero dispuestas a conseguir nuestra información a toda costa. Son los data brokers, también llamado information broker o information reseller. Se trata de un negocio basado en la recogida de información personal sobre consumidores y usuarios, que agrega y recopila los datos para crear perfiles individuales con la finalidad de venderlos a otras organizaciones privadas o públicas. Estos servicios son utilizados principalmente para publicidad y marketing segmentado, aunque también para verificar la identidad de una persona con fines de investigación.

Los data brokers pueden recoger información de muchos lugares, bien de registros públicos;o bien de fuentes privadas, como registros de transacciones de tarjetas bancarias, historiales de navegación web y de compras, metadatos, cookies, cartas de fidelización, redes sociales, etc.

Por ejemplo, examinando el perfil de Facebook se podría saber quiénes son sus amigos, familiares, estado civil, edad, gustos, lugar de residencia. Twitter permite conocer todo tipo de ideologías, sexualidad y opiniones. LinkedIn da información sobre el nivel de estudios, experiencia laboral y posición profesional. Instagram permite saber con qué frecuencia se viaja y a dónde, por placer o por trabajo; y todo ello, “sin invadir la privacidad”. ¿Es magia? No, es la consecuencia de socializar a través de estas nuevas vías.

Experian, Equifax, Epsilon o Acxiom son algunas de las empresas más importantes del mundo, en cuanto al comercio del dato se refiere.Por ejemplo, Acxiom afirma tener archivos sobre el 10% de la población mundial, y en un esfuerzo de mostrarse transparente,ha creado el sitio web www.aboutthedata.com, que permite al usuario registrarse para que visualice qué información dispone Acxiom sobre él y corregirla, aunque esto a su vez le permite obtener más información y tenerla actualizada.

Muchas de estas compañías operan en España, pero de otra manera y con otros requisitos, y esto es debido a que la Agencia Española de Protección de Datos (AEPD) se ha mostrado contundente, castigando ciertas conductas ilegales, basadas en la recogida y explotación de datos, con la aplicación de grandes  sanciones económicas. Por ejemplo, la AEPD impuso una serie de sanciones a Saberlotodo Internet, S.L. (expediente sancionador PS/00629/2008) porque con su operativa infringía la obligación de obtener consentimiento para el tratamiento y cesión de datos, el deber de secreto y la falta de adopción medidas de seguridad adecuadas al tratamiento. La suma de las multas de los diferentes procedimientos sancionadores ascendía casi a unos 5 millones de euros.

Con el nuevo marco regulador europeo en protección de datos de carácter personal, los data broker tienen todavía más limitado el campo de actuación. Este mercadeo de datos y, en definitiva, de la intimidad, hecha por el data broker, no tiene un lugar tan accesible en suelo europeo.

La gente no conocedora en la materia, difícilmente puede llegar a ser consciente de la información que transmite, ya sea de dónde está, lo que come o  lo que hace. El conocimiento de esta realidad, mejorará positivamentecon la entrada del Reglamento europeo que, además de contemplar supuestos de Big Data, Internet de las cosas (Internet of things), y la realización de perfilados, permite la obtención de información valiosa, pero siempre sin menoscabar los derechos de los usuarios o consumidores.

 

Marina Medela

Departamento Legal

Áudea Seguridad de la Información

 

01Ene/15

La APEP alerta contra estafas en el asesoramiento en materia de LOPD

La APEP alerta contra estafas en el asesoramiento en materia de LOPD

La Asociación Profesional Española de Privacidad (APEP) advierte la existencia de estafas en el asesoramiento en materia de Protección de Datos.

Éstas consisten en suplantar la identidad de la Agencia Española de Protección de Datos, por medio de empresas que registran dominios de Internet con denominaciones similares al de la propia Agencia. Es el caso que tenemos a continuación, en el que el dominio utilizado es “agenciaprotecciondatos.net”.

Obtenido el dominio, la empresa envía un mensaje de correo anunciando una supuesta inminente Inspección de la AEPD. Una vez se dispone de un dominio basta con buscar empresas cuya cuenta de correo sea pública y se envía un mensaje como el que sigue:

Date: Mon, 26 Sep 2011 10:23:19 +0200

From: [email protected]

To: info@__-andalucia.es

Subject: Notificacion Urgente

Estimado Sr __________

Le comunicamos que pronto recibira la visita de un Agente Inspector

para comprobar si cumple con la normativa de LOPD (Ley Organica de Proteccion de Datos)

Le recordamos que deve tener visibles los documentos que acreditan dicha inscripcion en nuestros archivos

Si la gestion de sus datos lo gestiona una empresa o agente autorizado (INFORMATICAS, CONSULTORAS o ADMINISTRADORAS) debe facilitarnos los datos de la misma para comprobar su inscripcion en nuestros sistemas.

Recordandole que de no cumplir con la normativa vigente sobre la proteccion de datos puede recibir una sancion de 900 a 40.000EUR

Rogamos nos indique su horario laboral para consertar la cita de nuestro agente

De no indicarnos su horario laboral procederemos hacer visita sorpresa

AGENCIA DE PROTECCION DE DATOS

     COORDINADOR DE AGENTES

Aún a pesar de lo pueril del método empleado, el desconocimiento sobre estos temas en algunos ámbitos y el temor que infunde la AEPD en los mismos ha provocado que la APEP haya “puesto estos hechos en conocimiento de las autoridades policiales y administrativas competentes, y sin perjuicio de otras acciones que puedan emprenderse, se hace un llamamiento a quienes los reciban a poner en conocimiento los hechos mediante denuncia formulada ante las Fuerzas y Cuerpos de Seguridad del Estado”, apelando a “las Cámaras de Comercio y a las organizaciones empresariales para que procedan a informar a sus asociados y a prevenir ante este tipo de actuaciones”.

La APEP considera perjudicial esta conducta por cuanto “afecta al buen nombre de una alta institución del Estado, la Agencia Española de Protección de Datos, y genera desconfianza respecto de quienes desarrollan tareas de consultoría con la adecuada profesionalidad”.

Conviene recordar en este punto, y así lo hace la OPEP, que “la implementación de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal por todas las organizaciones constituye un proceso beneficioso más allá del mero cumplimiento normativo”, en tanto que provee de seguridad y calidad a todos “los procesos basados en el uso de tecnologías de la información y de las comunicaciones”, otorgando así confianza a “aquellas personas cuyos datos tratamos”.

FUENTE: www.apep.es

01Ene/15

El Tribunal de Justicia Europeo respalda el Derecho al Olvido

El Tribunal de Justicia Europeo respalda el Derecho al Olvido

Un fallo de la justicia europea resuelve finalmente la cuestión sobre la interpretación del Derecho al Olvido en los buscadores de Internet. El Tribunal de Justicia de la Unión Europea (TJUE) ha publicado hoy una Sentencia que aclara la larga disputa entre la responsabilidad de los buscadores, la aplicabilidad de la normativa de protección de datos y los derechos de los ciudadanos.

La articulación del Derecho al Olvido, que no se encuentra expresamente regulado aún, surge con los perjuicios que causa el rastro de la información en Internet. Esto ha llevado a un largo conflicto entre la Agencia Española de Protección de Datos (AEPD) y Google, que tras 11 años de batalla por reclamaciones y solicitudes de Tutela de ciudadanos, parece que ahora queda clarificado.

Google siempre ha rechazado las peticiones de ciudadanos defendiendo como principal argumento la no aplicabilidad del derecho español en el buscador, cuya actividad esta sujeta a la legislación estadounidense al estar ubicada allí Google Inc., su empresa propietaria. No obstante para la AEPD nunca ha sido un argumento lógico, que considera que al disponer una sociedad establecida en España, Google Spain, S.L., esta sujeta al derecho español, a pesar de que el objeto sea la publicidad, diferente a las tareas del motor de búsqueda.

Con esta sentencia, el TJUE apoya los argumentos de la AEPD y considera que Google utiliza de forma “automatizada, constante y sistemática” información personal, que recoge, procesa y conserva de los diferentes sitios web enlazados. Considera la información indexada en los buscadores como un fichero de datos, del que Google decide sobre la finalidad y destino.

La Justicia europea tampoco hace distinción alguna por el hecho de que radique en un país extracomunitario, argumentando en la línea de la AEPD y justificando la “relación” entre la publicidad de la que se nutre en cada país miembro con los resultados de búsqueda del motor. Por tanto, en adelante todas las personas tendrán derecho a solicitar del motor de búsqueda la eliminación de las referencias personales que puedan afectarles, aunque la información no haya sido eliminada por parte del editor de los contenidos, ni se haya solicitado su desindexación.

¿Qué cambia esta sentencia europea de forma práctica?

Supone dar existencia al llamado Derecho al Olvido. A partir de ahora se podrá solicitar a Google directamente el borrado de los datos personales que aparecen en el buscador indexados, y Google tendrá la obligación de hacerlo. Además, se podrá acudir de forma efectiva a solicitar la Tutela de la AEPD o de los Tribunales en caso de conflicto.

Pero, como en cualquier otro derecho fundamental, existe un límite. Se deberá ponderar en cada caso la primacía del Derecho a la Protección de Datos o del Derecho a la Información, que legitima este último en algunos casos la publicación de todo tipo de información.

La Sentencia concreta que el derecho a la protección de datos prevalecerá con carácter general sobre el interés económico del buscador o cualquier tercero, salvo que la información sea de interés o relevancia pública que permita justificar su difusión.

¿Significa que se eliminará toda la información de Internet?

Tradicionalmente las solicitudes para eliminar información personal han sido dirigidas a los editores de la información, que podrán estimar o no las reclamaciones. Esta Sentencia articula la posibilidad de hacerlo también frente al motor de búsqueda, que son los responsables de la difusión y accesibilidad de la información publicada por los diferentes portales.

Solicitar eliminar los datos ante un buscador no supone la eliminación de los documentos, archivos o hemerotecas digitales de donde proviene la información, que se mantendrán inalterados salvo que se solicite expresamente a ellos la retirada de los contenidos.

¿Cuál es la opinión de Google al respecto?

Google ya ha emitido un comunicado de prensa afirmando la decepción que supone este hecho para los motores de búsqueda y editores online en general, pudiendo perjudicar su negocio y actividad en Europa.

En su comunicado se sorprende del cambio de rumbo y opinión por parte de las instituciones judiciales europeas, que se contradice rotundamente a la opinión que mantenía. En concreto, se remitió a las declaraciones del Abogado General del TJUE, Niilo Jääskinen, quién afirmó hace apenas un año que debía prevalecer el Derecho a la Información frente al Derecho al Olvido, para evitar así una “injerencia en la libertad de expresión del editor de la página web”, llegando incluso a comparar el Derecho al Olvido con la censura.

 

01Ene/15

Publicación en el Tablón de Anuncios de la Comunidad de Propietarios de las Deudas de un Comunero

Publicación en el Tablón de Anuncios de la Comunidad de Propietarios de las Deudas de un Comunero

Contemplamos el supuesto de los Comuneros que por diversas razones no pagan las cuotas de comunidad o cualquier otro gasto generado y aprobado por la Junta de Propietarios y no se les puede requerir de pago o cualquier intento resulta infructuoso. Para estos casos la Ley de Propiedad Horizontal habilita un mecanismo de notificación a través del Tablón de anuncios colocado en la propia comunidad, normalmente en el zaguán y a la vista de todos los propietarios. La cuestión entonces es saber si esta publicación, parecida a la edictal, se ajusta a lo establecido en la Ley de protección de datos. Debemos distinguir que la Ley admite este supuesto, pero la publicación no se puede realizar de cualquier modo, debe seguir un procedimiento. La publicación de estos datos sin el consentimiento del titular de los datos puede conllevar la sanción por parte de la Agencia Española de Protección de datos con una multa que va de 40.001 a 300.000 euros por la comisión de una infracción grave.

Esta cuestión queda resuelta por la Agencia de protección de Datos entre otros en el Informe 188/2008 de la AEPD.

En primer lugar, esta la publicación implicará una cesión de datos de carácter personal, definida por el artículo 3.i) de la Ley 15/1999, como “toda revelación de datos realizada a una persona distinta del interesado”.

En relación con la cesión, el artículo 11 de la Ley dispone que los datos personales sólo podrán ser comunicados a un tercero, con la única finalidad de cumplir con las funciones legítimas del cedente y del cesionario, y contando con el previo consentimiento del interesado. Es de suponer, que el propietario deudor, que además no ha podido o no ha querido ser localizado, no va a prestar el consentimiento para que todos los vecinos se enteren que es un moroso. En este supuesto debemos acudir a la segunda solución adoptada por la LOPD, y es que este consentimiento sea sustituido por una Ley. Es importante indicar que sólo las normas con rango de Ley habilitan para sustituir este consentimiento, y por tanto no sirve cualquier norma.

En este sentido entre las obligaciones impuestas por la Ley de Propiedad, en su objetivo de lograr que las comunidades de propietarios puedan legítimamente cobrar lo que les adeudan los copropietarios integrantes de las mismas, se encuentra la de dar publicidad a través de la convocatoria de la Junta de propietarios de aquellos que no se encuentren al corriente en el pago de todas las deudas vencidas con la comunidad. Así el artículo 16.2 de la citada Ley respecto a la convocatoria de la Junta establece, “La convocatoria contendrá una relación de los propietarios que no estén al corriente en el pago de las deudas vencidas a la comunidad y advertirá de la privación del derecho de voto si se dan los supuestos previstos en el artículo 15.2”, lo que conlleva necesariamente el conocimiento de aquellos propietarios deudores, sin necesidad de recabar el consentimiento de los mismos.

Pero la convocatoria de la junta no faculta por sí sola la publicación de estos datos en el tablón de anuncios. Para cualquier citación o notificación a un propietario se debe seguir unos trámites tasados. En primer lugar se debe intentar la notificación en el domicilio que para estos efectos designe el propietario deudor, que podrá ser distinto al piso o local perteneciente a la Comunidad de Propietarios. Sólo si esta citación resulta infructuosa, la ley de propiedad horizontal faculta al Secretario de la Comunidad para intentar la citación en el piso o local, perteneciente al propietario moroso en la propia Comunidad. En este sentido la citación entregada al ocupante de este piso o local se entenderá que tiene plenos efectos jurídicos, por lo que podrá ser entregada al inquilino arrendatario, si fuese el caso.

Hacer hincapié que cualquier intento de notificación debe quedar completamente acreditado para evitar posteriores sanciones. En este sentido una carta certificada y con acuse de recibo no acreditaría el contenido de la notificación, por lo que el consejo sería que se realizase bien a través de un requerimiento notarial, o mediante una opción más barata, el envío de un Burofax, certificado, y con acuse de recibo. Este método acredita el contenido de la notificación, y la recepción o no de la misma, con el motivo de la no entrega si fuese el caso.

Por último, y tras el largo peregrinaje intentando la notificación, y si esta resultase infructuosa, la Ley de Propiedad horizontal faculta al Secretario para que pueda colocar esta comunicación en el tablón de anuncios de la comunidad, o en lugar visible de uso general habilitado al efecto. Pero además esta citación deberá cumplir con una serie de requisitos de fondo y formales, sin los cuales no se puede considerar válidamente efectuada. Cualquier notificación efectuada a través del tablón de anuncios deberá contener la fecha, los motivos por los que se procede a esta forma de notificación, deberá estar firmada por quien ejerza las funciones de secretario de la comunidad, y deberá contar con el visto bueno del presidente. La notificación practicada de esta forma producirá plenos efectos jurídicos en el plazo de tres días naturales.

En consecuencia, siempre que la publicación obedezca al hecho de que la Convocatoria de la Junta, en la que deben figurar los datos a los que se refiere el artículo 16.2 de la Ley de Propiedad Horizontal, no haya podido ser notificada a alguno de los propietarios por el procedimiento que acaba de describirse, la cesión que implica la publicación de la Convocatoria en el tablón de anuncios se encontrará amparada por el artículo 11.2.a) de la Ley Orgánica 15/1999.

 

01Ene/15

La AEPD exige justificar claramente un motivo para el ejercicio de oposición al tratamiento de datos

La AEPD exige justificar claramente un motivo para el ejercicio de oposición al tratamiento de datos.

Recientemente se ha publicado en la página Web de la AEPD una resolución cuanto menos curiosa, que pone de manifiesto la necesidad de fundamentar motivadamente los hechos y motivos por las que una persona considera que una información publicada en Internet atenta contra su derecho a la dignidad y protección de datos. La resolución en cuestión es la R/01545/2011.

La noticia que aparecía en Internet hacía referencia a la vinculación de esta determinada persona con una red de narcotráfico. El afectado, que no quería que la noticia pudiese ser conocida por la totalidad de la población, decidió solicitar a dos de los buscadores de referencia, Yahoo y Google, que procediesen a cesar en el tratamiento de sus datos personales ejercitando su derecho de oposición, o en su defecto procediesen a cancelar sus datos personales en estos buscadores.

La Agencia durante 25 hojas se dedica a fundamentar jurídicamente si los buscadores están obligados a atender estos requerimientos según tengan establecimiento o medios en el territorio del Estado Español, o de la Comunidad Europea. Para ello hace referencia a varias resoluciones y recomendaciones anteriores tanto de la propia Agencia, como del Grupo de Trabajo del Artículo 29, en la que llegan a la conclusión final que estos dos buscadores tienen tanto establecimientos en España, como utilizan medios en nuestro territorio para realizar la búsqueda, y por tanto deben atender la solicitud de derechos ARCO que se les planteen por los particulares. Resulta una buena noticia para los que no sabíamos como hacerlo, porque la respuesta que hemos recibido siempre de Google es que la empresa principal se encuentra en América, y por lo tanto allí no se aplica la legislación Española.

Pero la Agencia va más allá, y analiza un requisito que hasta ahora había pasado desapercibido. El art. 34.a) del Real Decreto 1720/ 2.007 que regula el procedimiento de oposición exige que para que éste pueda ser atendido se deben dar las siguientes circunstancias:

  • Que exista un motivo legítimo y fundado.
  • Que dicho motivo se refiera a su concreta situación personal.
  • Que el motivo alegado justifique el derecho de oposición solicitado.

En la solicitud que el particular efectúa se omite este motivo, además no hace referencia a qué datos concretos hace referencia el titular para el ejercicio de derechos, dice la Agencia, y por tanto se desestima la solicitud de protección de derechos. “Toma ya”, eso se llama tirar la pelota en el tejado de otro.

En cuanto a la referencia a los datos concretos, creo que los mismos quedan perfectamente acreditados, si en toda la solicitud no se hace referencia a otros datos, nada más que a los identificativos, nombre y apellidos, es de suponer que los datos se refieran a éstos. Pero aún pudiendo existir dudas sobre aquellos, el mismo Real Decreto citado en su artículo 25.3 indica que “en el caso de que la solicitud no reúna los requisitos especificados en el apartado primero, el responsable del fichero deberá solicitar la subsanación de los mismos”. Y parece ser que el responsable no hizo ninguna mención en éste sentido, luego entendía que la solicitud estaba bien hecha y no necesitaba ningún dato adicional.

En cuanto a la acreditación de un motivo, si el Real Decreto lo dice por algo será. Pero parece obvio que éste motivo, implícitamente hace referencia a que no quiere que sus datos aparezcan en los motores de búsqueda, además también podemos deducir, por la naturaleza del derecho, que se trata de un derecho contra la dignidad, la propia imagen, y el específico de la protección de datos, que motivó la promulgación de una Ley concreta como la LOPD. Pero es más, dentro de estas 25 hojas a las que antes hacía referencia, la Agencia hace referencia expresa a una resolución de la misma, la recaída en el procedimiento de tutela de derechos TD/266/2.007 que indica ” que cabe proclamar que ningún ciudadano que ni goce de la condición de personaje público ni sea objeto de hecho noticiable de relevancia pública tiene que resignarse a soportar que sus datos de carácter personal circulen por la RED sin poder reaccionar ni corregir la inclusión ilegítima de los mismos en un sistema de comunicación universal como Internet”. En este sentido parece deducirse que si la persona es objeto de hecho noticiable tiene que soportar toda la vida la inclusión de esta noticia en Internet, cuando la propia resolución indica que si sus datos personales no son de interés público, por no contribuir su conocimiento a forjar una opinión pública libre como pilar basilar del Estado democrático, debe gozar de mecanismos reactivos amparados en Derecho(como el Derecho de cancelación de datos de carácter personal). A esto quiero añadir, que hecho en falta un dato en esta resolución, y es que no pone la fecha de la noticia. Si la noticia fue publicada hace mucho tiempo, el carácter de noticiosa la perdió con el tiempo, y por lo tanto no es necesario el mantenimiento de la misma en el tiempo. La Agencia también se ha pronunciado en diversas resoluciones sobre el derecho al olvido.

Y por último, quisiera apuntar, que el solicitante hizo dos peticiones alternativas, oposición y alternativamente cancelación. El Real Decreto no exige la acreditación de ningún motivo fundado para el ejercicio de este derecho, y por tanto la Agencia, debería haber resuelto sobre esta petición alternativa.

 

01Ene/15

Plazo de conservación de los documentos de auditoría

Plazo de conservación de los documentos de auditoría

Según el art. 96 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal , en adelante Reglamento, “a partir del nivel de seguridad medio los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada dos años, a una auditoría interna o externa que verifique el cumplimiento” del Título VIII del Reglamento, añadiendo que “con carácter extraordinario deberá realizarse dicha auditoria siempre que se realicen modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptación, adecuación y eficacia de las mismas”. Esta auditoría inicia el cómputo de dos años señalado en el párrafo anterior.

Se dice posteriormente que el informe de auditoría deberá estar a disposición de las agencias de protección de datos pero no indica durante cuánto tiempo deben conservarse estos informes.

El art. 44.3 h) de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, en adelante LOPD, indica que “es infracción grave mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen”. Dicha infracción prescribirá a los dos años de su comisión, tal y como dispone el art. 47.1 de la LOPD. Así la entidad requerida debería siempre tener a disposición de la Agencia un informe emitido durante los dos años anteriores al momento en el que se solicita el requerimiento.

El siguiente informe jurídico de la Agencia Española de Protección de datos corrobora lo mencionado anteriormente.

http://www.agpd.es/portalwebAGPD/canaldocumentacion/informes_juridicos/common/pdfs/2010-0191_Plazo-de-conservaci-oo-n-de-informes-de-auditor-ii-a-de-seguridad.pdf

Sin embargo la Autoridad Catalana de Protección de Datos, considera que el plazo de conservación de estos documentos de Auditoría sería de tres años en el dictamen que a continuación se relaciona.

http://www.apdcat.net/media/dictamen/es_286.pdf#search=”Historias clinicas sin medida de seguridad “

En este dictamen la Autoridad Catalana en un primer momento y con misma fundamentación que la Agencia Española llega a la conclusión que debe ser 2 años el plazo de conservación.

Pero posteriormente considera que el registro de incidencias, puede resultar un valioso elemento probatorio en la investigación de otros tipos de infracciones que tienen atribuido un plazo de prescripción más largo, en el caso de infracciones muy graves, que tendría un plazo de prescripción de tres años.

Pero además el artículo 19 de la LOPD también contempla la responsabilidad por daños o lesiones que las personas afectadas sufran en sus bienes o derechos, ya sea mediante la reclamación de la responsabilidad de la Administración, cuando el daño sea imputable a una Administración pública, o mediante el sistema de responsabilidad extracontractual establecido en el derecho civil. En este sentido, disponer de la documentación relativa a las auditorías puede ser un elemento probatorio importante para la acreditación de la diligencia del responsable en el cumplimiento de las medidas de seguridad exigibles. Al respecto hay que recordar que la letra d) del artículo 121-21 del Libro primero del Código Civil de Cataluña establece que prescriben a los tres años las pretensiones derivadas de responsabilidad extracontractual, y las demás pretensiones al cabo de diez años, salvo la recuperación de la posesión (artículos 121-20 y 121-22). En conclusión, la documentación que forma parte de las auditorías de seguridad requeridas por dicha normativa debe conservarse durante un período mínimo de tres años, o hasta que se realice la auditoría de seguridad siguiente, si esta no se ha efectuado dentro del plazo de dos años exigible.

Aurelio J. Martínez Ferre.
Consultor Legal
AUDEA, SEGURIDAD DE LA INFORMACIÓN, S.L.
www.audea.com

01Ene/15

El tratamiento de datos por parte de las comunidades de propietarios

El tratamiento de datos por parte de las comunidades de propietarios

Este es el primero de una serie de artículos sobre el tratamiento de datos personales en las comunidades de propietarios.

Las obligaciones que impone la LOPD y sus normas de desarrollo plantean la necesidad de que las comunidades de propietarios se adapten y cumplan escrupulosamente con la normativa de protección de datos. La organización y gestión de la comunidad de propietarios supone la existencia de al menos un fichero o tratamiento de datos personales: la de los propios integrantes de la comunidad. Existen hechos habituales de la vida de una comunidad de propietarios que conllevan la existencia y obligatoriedad de adaptar estas comunidades a lo dispuesto por la LOPD, así podríamos hablar de contratación con terceros de servicios prestados a la comunidad como el contrato con administradores externos a los propietarios de las viviendas de la comunidad, seguridad, reparaciones, limpieza…; cobro de cuotas de comunidad y como consecuencia gestión de impagados.

Según el art. 3 de la LOPD es Responsable del fichero o tratamiento la persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento. Poniendo en relación esta definición con las de la Ley de Propiedad Horizontal el responsable del Fichero sería la propia Comunidad de Propietarios como persona jurídica y compuesta por tanto por la Junta de Propietarios. Esta distinción es importante puesto que nos indica que cualquier tratamiento de datos debe ser consensuado por la totalidad de los propietarios conforme a las reglas de la formación de la voluntad de los órganos de la Comunidad. En consecuencia el responsable del fichero, será el que sufra de las consecuencias de un incumplimiento de lo dispuesto en la legislación de protección de datos. Esta afirmación se corrobora por la AEPD en su informe 2000 de fecha 23-04-2.010.

Por tanto y en aplicación del art. 25 y 26 de la LOPD toda comunidad de propietarios que tenga almacenados datos de los comuneros, es decir, todas ellas, tienen obligación de crear un fichero y comunicar este a la AEPD. Esta notificación la podrá hacer el órgano de representación de la misma o bien un administrador externo a la comunidad que ejerza las funciones de administración en nombre de ésta, pero en este supuesto el responsable del fichero seguirá siendo la propia comunidad de propietarios.

La denominación del fichero dependerá de los distintos usos que se le vaya a dar al mismo. Por lo general se le denominará “Comunidad de propietarios”, para identificarlo claramente de cualquier otro fichero.

En cuanto a la finalidad del mismo sería las obligaciones propias de la llevanza de la propia comunidad así por ejemplo gestión de los datos de la comunidad de propietarios, o envío de información y documentación, asistencia a juntas y en general todo lo necesario para asegurar el correcto desenvolvimiento de la comunidad, y tendría datos como D.N.I./N.I.F., nombre y apellidos, teléfono, datos económicos, financieros, seguros, transacciones.

Puede darse la circunstancia que la comunidad tenga contratados a diversos agentes para la llevanza de tareas en la comunidad. Sería el caso de porteros, limpieza, o cualquier otro que se nos pueda ocurrir, en estos casos en mi opinión deberíamos crear un fichero diferente puesto que la finalidad del mismo sería diferente a las propias de la llevanza de la comunidad. Estaríamos en un supuesto en el que el fichero se podría denominar “Personal contratado” o “personal”, cuya finalidad sería la gestión del personal que trabaja en la comunidad o “Gestión de nominas”.

Áudea Seguridad de la Información
Aurelio J. Martínez
Departamento Derecho NNTT
www.audea.com

01Ene/15

Save Harbor vs LOPD

Safe Harbor vs LOPD

La Directiva de la Comisión Europea sobre protección de datos entró en vigor en octubre de 1998, y prohíbe la transferencia de datos de carácter personal a países no pertenecientes a la Unión Europea, que no cumplen con la adecuación estándar de protección de datos dentro de la Unión Europea.

Cualquier entidad estadounidense que quiera ser receptora de transferencias internacionales de datos de carácter personal procedentes de la Unión Europea, tienen que adherirse al acuerdo Safe Harbor (Puerto Seguro). Por lo que, si una organización está adherida a dicho acuerdo, se considera que cumple con los principios de privacidad necesarios, y el destino es “confiable”.

Desde los inicios, este acuerdo ha recibido multitud de críticas en cuanto a lo sencillo que resulta obtener el certificado y las pocas garantías que éste ofrece: para obtenerlo basta con abonar las tasas correspondientes y hacer una declaración en la cual se compromete a cumplir con 7 principios de privacidad:

Notice: Deber de información (o notificación). Las entidades adheridas a Safe Harbor deben informar a los interesados de las finalidades para las cuales han sido recabados sus datos y sobre la forma en que se utilizarán.

  • Choice: El principio del  principio del consentimiento del afectado. Corresponde al interesado o afectado el poder decidir acerca de la recogida y la transferencia de sus datos de carácter personal a terceros.
  • Transfers to Third Parties: Sólo será posible la transferencia de datos cuando las entidades o países destinatarios estén suscritos al acuerdo Safe Harbor o sean países miembros de la Unión Europea.
  • Access: Las personas deben ser capaces de acceder a la información y corregirla o eliminarla si no es exacta, a efectos de poder ejercitar los derechos ARCO.
  • Security: El principio de seguridad de los datos: “adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado”.
  • Data Integrity: El principio de calidad de los datos. Los datos deben ser fiables y consecuentes con el propósito para el que fueron recopilados.
  • Enforcement: Este principio se refiere a la concreta aplicación o ejecución de todo lo que conlleva Safe Harbour. Es un principio controvertido por su ambigüedad, que dispone que para garantizar el cumplimiento de los postulados de Safe Harbor, deben articularse mecanismos independientes de resolución de conflictos y de verificación del cumplimiento de los principios Safe Harbor, con potestad para sancionar, en su caso.

Una de las graves deficiencias de dicho acuerdo, es que la verificación del cumplimiento, la realizan las propias entidades sin un control externo, en España, estas competencias son asumidas por la Agencia Española de Protección de Datos. Esto, unido a la libre interpretación de los principios, hace que el nivel de protección o acceso aplicado a la información pueda ser insuficiente.

A parte, otros estudios sobre Safe Harbor han dado como resultado un escandaloso descontrol en cuanto a las empresas adheridas a este marco: listado desfasado de empresas (donde aparecen entidades que ya no existen o que han quedado fuera de Safe Harbor), empresas incluidas en la relación de entidades adheridas pero que carecen de política de privacidad y, lo más preocupante, la mayoría de empresas adheridas no cumplía con el séptimo principio (o lo hacían impracticable), relativo al mecanismo de resolución de controversias.

01Ene/15

Cuando Internet entra por la puerta, la LOPD sale por la ventana

Cuando Internet entra por la puerta, la LOPD sale por la ventana

Nadie duda de las bondades de Internet, ni del ahorro de costes que supone pasarlo todo a digital… pero tampoco podemos olvidar que el ciudadano tiene unos derechos fundamentales garantizados constitucionalmente, ni que existen unas leyes que protegen dichos derechos a base de imponer cuantiosas multas.

Aún a riesgo de resultar repetitivos o de parecer demasiado conservadores (ya hemos hablado en otras ocasiones sobre el Derecho al Olvido en relación con el periodismo digital y con los boletines y diarios oficiales digitales), debemos decir que la experiencia obtenida a través de nuestros clientes, continúa revelándonos nuevos aspectos de la transición al mundo digital que chocan frontalmente con la protección de datos personales.

Hoy le toca el turno a la notificación de los accidentes de trabajo a través del Sistema Delta del Ministerio de Trabajo (o mejor dicho, de Empleo y Seguridad Social).

Pasando por encima de la complicación que supone aplicarle las medidas de seguridad de Nivel Alto al dichoso parte de accidente cuando, sin embargo, un parte de baja por enfermedad común sólo requiere el nivel básico (este tema también lo tratamos anteriormente), el procedimiento establecido por Delta, entraña un riesgo para la protección de datos mucho menos evidente.

El proceso más habitual es el siguiente:

  • Un trabajador, con más sueño que devoción, tiene un accidente de coche mientras se dirigía al trabajo por la mañana.
  • Resultado de dicho accidente, el trabajador detecta (o incluso se inventa) un dolor en el cuello, por lo que se dirige a su mutua a ver si consigue que le den la baja por AT.
  • Del análisis de dicha dolencia, se genera un registro del accidente que la mutua comunica a la empresa para que rellene el correspondiente parte Delta (si lleva descripción de la lesión sufrida, ya tenemos esos indeseables datos de salud en nuestra empresa).
  • El departamento de Recursos Humanos, o la gestoría, o quizá el Departamento de Prevención de Riesgos Laborales recibe esta notificación y, tras recabar la información necesaria, cumplimenta el tedioso parte Delta.
  • …Disculpen… corrijo el punto anterior: En realidad, UNA PERSONA FÍSICA del departamento de Recursos Humanos, o de la gestoría, o del Departamento de Prevención de Riesgos Laborales, cumplimenta el tedioso parte Delta.
  • Para ello, únicamente se necesita un “certificado digital de persona física”, que en la mayoría de los casos, es el certificado digital de la FNMT.

Además, entre las funcionalidades del Sistema Delta, aparte de registrar nuevos partes, está la consulta de los partes notificados anteriormente.

Por favor, tómense un minuto de reflexión antes de seguir leyendo… ¿Ya? Bien. ¿Y cuál es el problema?

Pues básicamente, que es la persona física quien notifica o consulta los partes de accidente, no la empresa. Desde el punto de vista de protección de datos, esto puede implicar varias cosas:

  • La más preocupante es que cuando esta persona abandona la empresa, puede seguir consultando y descargándose los partes Delta que ha notificado anteriormentey lo que es peor, parece posible que también siga teniendo capacidad de notificar un nuevo parte Delta.
  • Otras consecuencias menos probables, pasarían por considerar a la persona física como Responsable del Fichero, puesto que es la única que tiene capacidad de disposición sobre la información notificada a través del Delta (debiendo cumplir con la obligación de inscribir un fichero en la AEPD, informar a los afectados, obtener su consentimiento expreso pues es un dato de salud, elaborar un documento de seguridad, etc.). Tranquilidad, que ya digo que este enfoque no me parece realista ni adecuado, pues normalmente se trata de un trabajador por cuenta ajena que sólo hace lo que le dicen sus jefes.

Por esta desconcertante situación, se planteó la siguiente consulta por email al Sistema Delta:

” Estimados señores,

(bla, bla, bla)

¿Para notificar un accidente de trabajo en una empresa es necesario disponer de algún tipo de autorización específica o basta con tener un certificado digital?

En cualquiera de los 2 casos, ¿existe alguna forma para rescindir los permisos de acceso a los partes notificados anteriormente por la persona con su certificado digital cuando ésta abandona la empresa? ¿y de impedir que notifique futuros accidentes?

Para evitar el uso de certificados personales, se ha valorado la posibilidad de utilizar certificados de persona jurídica; no obstante, nos indican desde la FNMT que ellos no pueden limitar ni restringir de ninguna forma el uso de dichos certificados (y por motivos obvios, sería interesante limitar dicho uso exclusivamente a la notificación de accidentes de trabajo).

¿El Sistema Delta ofrece alguna posibilidad de obtención de certificado exclusivo para la interacción con Delta, como es el caso del certificado Silcon del Sistema RED de la Seguridad Social?

Y en tal caso ¿existe algún procedimiento de revocación de personas autorizadas a utilizar ese certificado cuando abandonan la empresa o cuando cambien sus funciones?

Agradezco de antemano su pronta respuesta.

Reciban un cordial saludo.

 

Sorprendentemente, la respuesta no se hizo esperar más de 10 minutos:

” Habiendo recibido y analizado su consulta, pasamos a indicarles la solución que creemos más acertada.

En Delta se registran personas físicas y no empresas. Los partes tramitados únicamente pueden ser visualizados a través de la aplicación por aquellas personas que lo tramitaron. Solo puede darse de baja de la aplicación la propia persona que esta registrada como representante de empresa. Únicamente pueden revocar las firmas digitales los propietarios de las mismas y no hay ninguna manera de evitar que estas personas no tramiten más partes. Una opción sería tramitar todos los partes de la misma empresa con una única firma digital.

Esperamos haber contribuido a solucionar su problema. De no ser así, rogamos vuelvan a contactar con nosotros, mediante un nuevo correo o llamando al 902 88 77 65 (Centro de Atención a Usuarios de aplicaciones externas del MEYSS).

Saludos cordiales,”

Sin entrar a valorar la sugerencia de que varias personas utilicen una única firma digital personal, se confirman nuestros temores. Básicamente, no hay forma de impedir que una persona que ha notificado un parte Delta con un certificado de la FNMT siga accediendo a este parte aún después de finalizar su relación con la empresa.

Sin embargo, el artículo 91 del Reglamento de Desarrollo de la LOPD, exige lo siguiente:

1. Los usuarios tendrán acceso únicamente a aquellos recursos que precisen para el desarrollo de sus funciones.

2. El responsable del fichero se encargará de que exista una relación actualizada de usuarios y perfiles de usuarios, y los accesos autorizados para cada uno de ellos.

3. El responsable del fichero establecerá mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados.”

Y su incumplimiento, es una infracción grave de la normativa de protección de datos, con sanciones entre 40.000 y 300.000 euros.

Es decir, que por cumplir con nuestras obligaciones (cumplimentar el parte Delta) con las herramientas que la Administración pone a nuestra disposición (certificado digital FNMT), nos arriesgamos a recibir una fuerte sanción.

¿Soluciones?

  • La más lógica sería que la AEPD tomase cartas en el asunto y forzase al Sistema Delta a implantar un procedimiento que no tenga este agujero. No obstante, después de ver la falta de pudor en algunas administraciones públicas a la hora de reconocer que no les importa la protección de datos, yo no depositaría grandes esperanzas en esta solución.
  • Otra opción más práctica y segura, es recurrir a un certificado digital de una entidad privada (cualquiera de las aceptadas por Delta servirían) que ofrezca un “Certificado corporativo de persona física”, que es un certificado reconocido de persona física que identifica al suscriptor como vinculado a una determinada organización, ya sea como empleado, asociado, colaborador, cliente o proveedor. La empresa podrá revocar este certificado cuando la persona deje la organización. Lo malo es que hay que acordarse de revocarlo (algo que, en la práctica puede quedar en tierra de nadie aunque esté procedimentado por escrito), y que perdemos el acceso a los partes que conserva el Sistema Delta y que haya tramitado esta persona (lo que nos fuerza a quedarnos con una información a la que tenemos que aplicar el nivel alto de seguridad).

En fin, lo dicho: cuando Internet entra por la puerta, la LOPD sale por la ventana… y las empresas se quedan perplejos sin saber a quién tenerle más miedo.

01Ene/15

Organización de eventos familiares o de amigos y LOPD

Organización de eventos familiares o de amigos y LOPD

Llega la Navidad, y con ella las reuniones de familias, amigos, y compañeros de promoción, de cursos, o de trabajo. Para ello es habitual que con motivo de la reunión, alguien del grupo, o una comisión creada al efecto, se dedique a contactar con todos para citarse en un sitio y en una fecha concreta y celebrar el evento preparado. Hasta aquí el procedimiento nos suena habitual, y en principio no tiene nada de particular. Hasta que la Agencia Española de Protección de Datos, AEPD, se le ocurrió indagar sobre estos supuestos, y concluyó que el tratamiento de los datos de los compañeros de promoción de una academia militar por parte de una Comisión creada al efecto por varios colegas para la organización de una comida de confraternidad incumplía la Ley de protección de datos, y pretendía sancionar a los organizadores con una multa de 6.010,12 euros al no contar éstos con el consentimiento de los compañeros de promoción para el tratamiento de sus datos y crear un fichero con la finalidad de organizar el evento.

Esta situación conllevó que los organizadores fueran en un principio sancionados por la Agencia.

Esta situación llegó a los tribunales y la Audiencia Nacional se pronunció al respecto dejando sin efecto la sanción impuesta. De la Sentencia dictada se desprenden las siguientes conclusiones:

– Origen de los datos. El origen de los datos de los compañeros es un elemento a tener en cuenta. No es lo mismo que los datos sean recabados del colegio, academia, o empresa; o que los datos se recojan de las agendas personales de los propios compañeros. Si fuesen recogidos de las agendas de los compañeros, la Audiencia Nacional entiende que se trata de un tratamiento con fines personales o domésticos, y por tanto estaría exento de la aplicación de la Ley de protección de datos, por la aplicación del artículo 2.2.a) de esta misma ley.

La cesión de los mismos a terceros para la organización del evento podría incluirse por tanto en este supuesto.

Si por el contrario los datos fuesen recabados de las entidades enunciadas anteriormente, la situación se complica. En este caso no podríamos hablar de tratamientos con fines personales o domésticos, y la entidad organizadora, o cedente de los datos tendría que tener el consentimiento del titular de los mismos para el tratamiento con la finalidad concreta de organización de eventos, fiestas…, y además el consentimiento para la cesión de estos datos a otros compañeros, o empresas que se puedan contratar para la organización del evento, identificando en lo posible a los mismos, o como mínimo la rama de actividad de las empresas cesionarias de los datos.

– Concepto de tratamiento.  El artículo 3.c) de la LOPD define el tratamiento de datos como aquellas “operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias” y según la Agencia de Protección de Datos en este caso quedó acreditado que la citada Comisión elaboró un listado que facilitó a una agencia de viajes para la promoción del evento, de suerte que ha existido recogida de datos, grabación y comunicación de los mismos e incluso cancelación, lo que acredita la existencia de tratamiento de datos. Efectivamente para la organización del efecto se realizó un tratamiento de datos, pero según la Audiencia Nacional “El criterio del tratamiento como delimitador del ámbito de aplicación del régimen de protección de la ley 15/1 999 es insuficiente… tal actividad constituye sin duda tratamiento en el sentido expresado en el artículo 3.c) antes trascrito, y sin embargo no queda sujeto al ámbito de aplicación de la ley. Lo excluye expresamente el artículo 2.2.a).

Por todo lo expuesto os recomendamos, que antes de organizar una cena o comida de empresa, de amigos, o de familia, tengamos en cuenta que estamos realizando un tratamiento de datos, y que el mismo debe ajustarse a lo dispuesto en la Ley Orgánica de Protección de Datos, sea por su sujeción, o para la exención del mismo por la propia Ley.

Que paséis buenas fiestas.

01Ene/15

Más de 2,5 millones de ficheros inscritos en la AEPD

Más de 2,5 millones de ficheros inscritos en la AEPD

El Registro General de Protección de Datos – RGPD – ha superado ya los 2.500.000 ficheros inscritos, según se refleja de la estadística mensual mencionada por dicho organismo correspondiente al mes de septiembre. Este dato representa un incremento de un 22,7 % al dato del mismo mes un año antes.

Entre los sectores que se han notado una mayor actividad en las notificaciones a la AEPD destaca en primer lugar las comunidades de propietarios, con más de 300.000 ficheros inscritos y un incremento de un 25%. Por otro lado, destacan tanto el incremento de las pequeñas y medianas empresas del sector comercio principalmente, como las empresas del sector sanitario; empresas conscientes del tratamiento de datos de salud que realizan.

De los ficheros inscritos, se desprende que 115.000 son de titularidad pública, pertenecientes a las Administraciones Públicas, y 2.400.000 de titularidad privada, habiendo sido inscritos por más de 900.000 empresas y organizaciones. Cataluña, Andalucia y Madrid son las comunidades autónomas que más ficheros inscriben.

La LOPD establece la obligación para todos los organismos y entidades, sean públicas o privadas, dar de alta los ficheros que contengan datos de carácter personal (clientes, pacientes, videovigilancia, personal, etc.), con un simple objetivo; hacer público a los ciudadanos quién trata sus datos y así poder ejercer sus derechos de acceso, rectificación, cancelación y oposición.

Fuente: www.agpd.es

01Ene/15

Diferentes aspectos del tratamiento de los datos personales por los corredores de seguros y reaseguros

Diferentes aspectos del tratamiento de los datos personales por los corredores de seguros y reaseguros.

Las funciones de una correduría de seguros y reaseguros, y especialmente su papel de mediador entre el interesado y compañías aseguradoras, puede plantear ciertas dudas respecto si considerarlas como responsable o encargado de tratamiento, puesto que por un lado parecen ser responsables como las entidades que recaban los datos de los interesados y deciden sobre su finalidad y por el otro, se les encarga unos determinados servicios de mediación.

Las funciones y obligaciones de los corredores se limitarán en principio, a las de ofrecer información veraz y suficiente en la promoción, oferta y suscripción de las pólizas de seguro y en su actividad de asesoramiento. Es decir, sus obligaciones son, básicamente, de carácter informativo y asesor, no pudiendo imponer directa o indirectamente la celebración del contrato de seguro.

Para determinar la condición del corredor de seguros y reaseguros, la Ley 26/2006, de 17 julio de Mediación de seguros y reaseguros privados, en sus artículos 62 y 63 analiza esta figura jurídica desde el punto de vista de protección de datos de carácter personal.

En el artículo 62. 1. c. se especifica que “A los efectos previstos en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante LOPD) los corredores de seguros y los corredores de reaseguros tendrán la condición de responsables del tratamiento respecto de los datos de las personas que acudan a ellos.”, que a su vez significa que las aseguradoras cesionarias y destinatarias de esta información, serían también responsables de los ficheros que recogiesen datos de los asegurados. En este sentido, también sería de aplicación el artículo 11. 2. c. de la LOPD que indica que “Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros” no será preciso el previo consentimiento del interesado, aunque las corredurías, por la propia naturaleza de los servicios que prestan, cuentan desde el principio con el consentimiento de las personas que solicitan sus servicios a comunicar sus datos a las entidades aseguradoras.

¿Pero qué pasará cuando la relación contractual entre el asegurado y la aseguradora se extingue, podrá la correduría mantener la información relativa a los asegurados o negociar la contratación de pólizas con otras compañías?

La condición de responsable del tratamiento de la correduría implica que una vez extinguida esta relación, no procederá a la devolución de los datos, tal y como se obliga al encargado de tratamiento en los términos del artículo 12 de la LOPD, sino que debe proceder a su cancelación, como señala el artículo 4.5 de la LOPD “Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.” Por lo que el corredor que haya dejado de ostentar la condición de mediador de seguros, debe de proceder a cancelar de su base de datos la información relativa al asegurado.

Respecto del consentimiento del interesado para tratar sus datos, el artículo 6.2 de la LOPD indica que “No será preciso el consentimiento… cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento…” por lo que tratándose en este caso de una relación negocial hay que entender que el consentimiento del interesado está implícito en esta relación. No obstante, el artículo 63 de la Ley 26/2006 en sus apartados 3 y 4 lo especifica aún más apuntando que “Los corredores de seguros podrán tratar los datos de las personas que se dirijan a ellos, sin necesidad de contar con su consentimiento:

a) Antes de que aquéllos celebren el contrato de seguro, con las finalidades de ofrecerles el asesoramiento independiente, profesional e imparcial al que se refiere esta Ley y de facilitar dichos datos a la entidad aseguradora o reaseguradora con la que fuese a celebrarse el correspondiente contrato.

b) Después de celebrado el contrato de seguro, exclusivamente para ofrecerles el asesoramiento independiente, profesional e imparcial al que se refiere esta Ley o a los fines previstos en su artículo 26.3.

Por consiguiente, para la utilización y tratamiento de los datos para cualquier otra finalidad distinta de las establecidas en las dos letras anteriores, los corredores de seguros deberán contar con el consentimiento inequívoco de los interesados. Resuelto el contrato de seguro en cuya mediación hubiera intervenido un corredor de seguros o un corredor de reaseguros, éste deberá proceder a la cancelación de los datos.

En definitiva, el corredor de seguros o reaseguros no podrá facilitar los datos del interesado a otra entidad distinta de aquélla con la que el interesado hubiera celebrado el contrato resuelto si no media su consentimiento inequívoco.

Es mucho más evidente que tampoco puede, sin el consentimiento del interesado permitirse la libertad de contratarle una nueva póliza con otra aseguradora, aunque esto pudiera suponer un beneficio para el interesado. Para poder contratar una nueva póliza de seguro o cualquier otro producto de aseguramiento es imprescindible mandato expreso del interesado a la correduría de seguros.

En consecuencia si un corredor de seguros, una vez resuelto el contrato entre el asegurado y la compañía aseguradora, quisiera mantener los datos del asegurado para destinarlos a otra finalidad y, en particular, para utilizarlos en la celebración de un nuevo contrato con otra compañía aseguradora, debería primero informar al interesado sobre el producto de aseguramiento y luego recabar su consentimiento inequívoco.

Asimismo, ésta ha sido la postura adoptada por la Agencia Española de Protección de Datos en relación a tratamientos de datos personales realizados por las corredurías de seguros o reaseguros y que ha expresado tanto en sus informes jurídicos como en sus resoluciones sancionadoras.

01Ene/14

¿Quién da más miedo: La Agencia Española de Protección de Datos o la Inspección de Trabajo?

¿Quién da más miedo: La Agencia Española de Protección de Datos o la Inspección de Trabajo?

Es una práctica habitual que determinadas empresas que subcontratan una obra o un servicio no dejen entrar a los empleados de la empresa subcontratada en la obra o en el local en el que se presta el servicio si previamente no se han recibido documentos acreditativos del cumplimiento de las obligaciones sociales y/o salariales por parte de la empresa subcontratada.

El documento acreditativo que más se suele requerir es el TC2, que es la relación nominal de los trabajadores por los que la empresa ha cotizado, identificados a través de unas siglas determinadas.

¿Por qué motivo se hace esto? Esta práctica tiene su origen en el artículo 42 del Estatuto de los Trabajadores, que establece lo siguiente:

“1. Los empresarios que contraten o subcontraten con otros la realización de obras o servicios correspondientes a la propia actividad de aquéllos deberán comprobar que dichos contratistas estén al corriente en el pago de las cuotas de la Seguridad Social. Al efecto, recabarán por escrito, con identificación de la empresa afectada, certificación negativa por descubiertos en la Tesorería General de la Seguridad Social, que deberá librar inexcusablemente dicha certificación en el término de treinta días improrrogables y en los términos que reglamentariamente se establezcan. Transcurrido este plazo, quedará exonerado de responsabilidad el empresario solicitante.

2. El empresario principal, salvo el transcurso del plazo antes señalado respecto a la Seguridad Social, y durante el año siguiente a la terminación de su encargo, responderá solidariamente de las obligaciones de naturaleza salarial contraídas por los contratistas y subcontratistas con sus trabajadores y de las referidas a la Seguridad Social durante el período de vigencia de la contrata.

No habrá responsabilidad por los actos del contratista cuando la actividad contratada se refiera exclusivamente a la construcción o reparación que pueda contratar un cabeza de familia respecto de su vivienda, así como cuando el propietario de la obra o industria no contrate su realización por razón de una actividad empresarial.

¿Y qué tiene que ver esto con la Protección de Datos?

Año 2006: la Agencia Española de Protección de Datos respondió a una consulta formal de una empresa preocupada por la Protección de Datos que no sabía cómo compaginar las obligaciones que le imponían sus clientes (entregar TC2, nóminas, etc.), con el artículo 11 de la LOPD, cuyo incumplimiento, conforme al antiguo régimen sancionador, suponía una infracción muy grave con sanciones entre 300.000 y 600.000 euros.

El criterio de la Agencia en dicha ocasión fue el siguiente: “se considera que el sistema descrito en la consulta no se encuentra amparado por lo dispuesto en la Ley Orgánica 15/1999, al resultar excesivo en relación con lo dispuesto en el artículo 42 del Estatuto de los Trabajadores, en cuya virtud no resulta necesario al contratista acceder a la información descrita en la consulta.”

¿Y qué sucedió tras este informe?

Nada. Las empresas seguían trabajando exactamente igual que antes. Los empresarios principales por miedo a las sanciones en materia laboral, y los subcontratistas por miedo a no cobrar.

Año 2009: la AEPD respondió a una nueva consulta formal sobre este mismo asunto. En este caso, la empresa que planteó la consulta, quizá fue capaz de transmitir mejor la complejidad del tema, y el resultado fue radicalmente distinto: “podemos entender que la comunicación de dichos datos es conforme con el artículo 7.2 en conexión con el artículo 4.2 de la Ley Orgánica 15/1999 y la obligación impuesta por el artículo 42.2 del Estatuto de los Trabajadores.”

La AEPD cambió de criterio tras una nueva lectura del 42.2 del Estatuto de los Trabajadores, que establece la responsabilidad solidaria del empresario principal frente a las obligaciones sociales y salariales del empresario subcontratado. Al existir una responsabilidad solidaria, entiende la Agencia que ya no resulta excesivo el acceso a esta información, y que la comunicación de la misma, se halla amparada en una de las excepciones al consentimiento para la cesión de datos personales. En todo caso, la información cedida debe responder a esta finalidad, y nunca deberá afectar a trabajadores de la empresa subcontratista que no estén implicados en la subcontratación.

Año 2010: en el último episodio de esta particular trilogía, la Agencia Española de Protección de Datos, tuvo que responder a una tercera consulta formal sobre la cesión de datos salariales y sociales de empresas contratadas a empresas principales. En todo caso, os avanzo que en esta ocasión, no se trata de una corrección de lo anterior, sino de una interesante matización para evitar equívocos. Esta consulta se centra sobre el concepto “propia actividad”, recogido en el artículo 42 del Estatuto de los Trabajadores.

Una vez aclarado que en caso de subcontratación existe una responsabilidad solidaria del empresario principal, y por lo tanto, tiene obligación de asegurarse de su correcto cumplimiento, surge la duda de qué sucede en los casos en los que la contratación no se encuadra dentro de la actividad propia de la empresa principal.

El Empresario Principal es responsable solidario junto con el Subcontratista, de las obligaciones sociales y salariales de este sobre sus trabajadores, y por lo tanto, el acceso a esta información está amparado en el Estatuto de los Trabajadores, y no supone un incumplimiento de la normativa de protección de datos.

Sin embargo, el Cliente, que recibe la obra o servicio para su uso o disfrute, no ostenta tal responsabilidad solidaria y, en consecuencia, no tiene legitimidad para acceder a ningún dato salarial ni de seguridad social de los empleados (ya sean los del Empresario Principal o del Subcontratista)

A pesar de todo lo anterior, la realidad nos sigue demostrando a través de muchos de nuestros clientes, que en muchas ocasiones grandes empresas que no admiten negociación ni discusión, siguen más preocupados por la responsabilidad laboral que por la responsabilidad en materia de protección de datos, y siguen exigiendo toda clase de certificaciones y garantías, provocando los siguientes efectos:

  1. Obligan al proveedor a incurrir en una infracción grave de la LOPD (conforme a su nuevo régimen sancionador) por cesión de datos sin consentimiento, o muy grave si hubiese datos de salud en los seguros sociales o de afiliación sindical en las nóminas
  2. Incurren ellos mismos en 3 infracciones graves al tratar datos excesivos, sin consentimiento de los afectados, y seguramente, sin haberles informado de lo establecido en el artículo 5 de la LOPD en el plazo de 3 meses desde que recibieron los datos.

En definitiva, el gran perjudicado es el pequeño empresario, que o bien pierde el proyecto (por alegar incumplimiento de la LOPD), o se arriesga a recibir una fuerte sanción. Si cualquiera de nosotros tuviese que escoger entre una realidad (perder el proyecto) y una posibilidad (multa de la AEPD), ambas situaciones indeseables, creo que todos escogeríamos la posibilidad.

Ojala la AEPD lo viese de la misma manera.

01Ene/14

Tratamiento de los datos personales de los trabajadores por el Comité de Empresa o Delegados de Personal

Tratamiento de los datos personales de los trabajadores por el Comité de Empresa o Delegados de Personal

De acuerdo con el Estatuto de los Trabajadores (ET), de 24 de marzo de 1995, los órganos representativos de los trabajadores están autorizados a acceder a cierta documentación de la empresa en el marco de sus funciones de control y vigilancia de las relaciones laborales así como condiciones de seguridad e higiene. Asimismo la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal (LOPD) define la cesión de datos como “toda revelación de datos realizada a una persona distinta del interesado”. En consecuencia nos encontramos necesariamente ante una comunicación de datos por parte del empresario al Comité de Empresa o a los Delegados de Personal (en función si se tratase de una empresa de 50 o más trabajadores).

En este contexto, la cesión de los datos de los trabajadores, únicamente podría entenderse lícita si se produjera en el ámbito de las funciones que la Ley atribuye a los Delegados de Personal o el Comité de Empresa como órganos representativos del conjunto de trabajadores. A esta información podrían acceder solamente las personas autorizadas con el fin de cumplir con las funciones de vigilancia y control recogidas en el artículo 64.1 del ET que dice concretamente que “El comité de empresa tendrá las siguientes competencias: Recibir la copia básica de los contratos a que se refiere el párrafo a) del apartado 3 del artículo 8 y la notificación de las prórrogas y de las denuncias correspondientes a los mismos, en el plazo de los diez días siguientes a que tuvieran lugar.”, y el apartado 9° atribuye a dicho órgano “Ejercer una labor: a) De vigilancia en el cumplimiento de las normas vigentes en materia laboral, de Seguridad Social y empleo, así como el resto de los pactos, condiciones y usos de empresa en vigor, formulando, en su caso, las acciones legales oportunas ante el empresario y los organismos o tribunales competentes; b) De vigilancia y control de las condiciones de seguridad e higiene en el desarrollo del trabajo en la empresa, con las particularidades previstas en este orden por el artículo 19 de esta Ley”. En otros casos no previstos en este artículo, sería necesario recabar antes el consentimiento de los interesados para poder comunicar sus datos. En consecuencia no toda la información debería ser accesible a los representantes de los trabajadores y así por ejemplo, el empresario no debería facilitar las nóminas de sus empleados al Comité de Empresa sin su consentimiento, puesto que la información que contienen excede las funciones atribuidas por Ley a dichos representantes, siendo suficiente en esta materia la aportación de los documentos TC1 y TC2.

La situación se complica un poco si tenemos en cuenta que el ET por un lado reconoce al Comité de Empresa la capacidad para ejercer acciones administrativas y judiciales y le atribuye, unas competencias que suponen una posición de independencia respecto del empresario y por el otro lado debemos tener en cuenta que dicho órgano no tiene personalidad jurídica propia, por tanto no puede ser considerado como el responsable del fichero tal y como lo define el artículo 3 de la LOPD como “persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento”. En consecuencia este órgano tampoco podría ser sancionado directamente por la Agencia Española de Protección de Datos (AEPD) aún cuando vulnerase la normativa de protección de datos.

¿Qué ocurre entonces cuando el Comité de Empresa comete infracciones derivadas de esta normativa y qué medidas debería adoptar el empresario para prevenir estas situaciones?

Ante todo hay que recalcar que los representantes de los trabajadores por el mero hecho de recibir la información confidencial, sí que están obligados a cumplir con las disposiciones de la Ley, en este sentido el artículo 11.5 de la LOPD dispone que “Aquél a quien se comuniquen los datos de carácter personal se obliga, por el solo hecho de la comunicación, a la observancia de las disposiciones de la presente Ley”.

Por consiguiente, el Comité debería tratar los datos a los que tiene acceso solamente conforme a las disposiciones del artículo 64 .1 del ET, ya que en el caso de que los utilizase para cualquier otra finalidad distinta del correcto desenvolvimiento y control de la relación laboral vulneraría el artículo 4.2 de la LOPD.

Tampoco sería autorizada la divulgación de la correspondiente información por parte de los órganos de los representantes de los trabajadores por cualquier medio puesto que la publicación de la información podría implicar la cesión de datos amparada por lo dispuesto en el artículo 11 de la citada Ley.

Además, debería responsabilizarse en adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural conforme lo establece el artículo 9 de la LOPD y su normativa de desarrollo.

A su vez, el artículo 10 de la LOPD impone un deber de secreto a cualquiera que intervenga en el tratamiento de los datos personales, por lo que también los miembros del Comité de Empresa o Delegados de Personal quedarían obligados al deber de secreto y confidencialidad respecto de la información a la que tuvieran acceso en el transcurso del desarrollo de su actividad, añadiendo incluso que estas obligaciones subsistirían aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.

Igualmente, el apartado 2º del ya citado artículo 65 del ET establece que “Los miembros del comité de empresa, y este en su conjunto, observarán sigilo profesional en todo lo referente a los párrafos 1.º, 2.º, 3.º, 4.º y 5.º del apartado 1 del artículo anterior, aun después de dejar de pertenecer al comité de empresa y en especial en todas aquellas materias sobre las que la dirección señale expresamente el carácter reservado. En todo caso, ningún tipo de documento entregado por la empresa al comité podrá ser utilizado fuera del estricto ámbito de aquella y para distintos fines de los que motivaron su entrega”.

En último lugar, para reforzar estas disposiciones legales el empresario podría hacer firmar a todos los miembros del Comité de Empresa o Delegados de Personal un documento de confidencialidad por el que se comprometerían de forma expresa y por escrito a cumplir con todas las disposiciones legales.

Por todo lo anteriormente expuesto, la empresa podría repetir contra aquellos, cualquier tipo de sanciones o multas administrativas que le fueran impuestas por la AEPD.

01Oct/08

La protección de datos personales

La protección de datos personales
El impactante caso del Arzobispado de Valencia

La protección de datos personales es un tema que día tras día nos lo vamos encontrando en la práctica jurídica;son cada vez mas las sentencias y pronunciamientos judiciales que en sus escritos aparece como núcleo esencial este relevante derecho de protección de datos cuya importancia supera y con creces al propio derecho de la intimidad.

En España está en vigor la Ley de Protección de Datos (en adelante LOPD desde el año 1999;ley que derogaba la anterior de 1992 que llevaba por título “del tratamiento automatizado de datos personales de carácter personal”.Nuestro actual texto omite en su enunciado el término “automatizado”,pero no supone una limitación a todos aquellos datos susceptibles de encontrarse en ficheros manuales o no automatizados,sino que es una ley que refuerza a estos últimos y los empareja,tratándolos de igual a igual,habida cuenta del estado actual de la técnica;pues no son pocas las empresas o instituciones varias que poseen ficheros que contienen dichos datos personales de personas físicas

El presente artículo trata de un posible conflicto de derechos:por un lado el derecho a la libertad religiosa (LOLR) y por otro el derecho a la protección de datos y digo conflicto puesto que estamos ante dos derechos fundamentales recogidos en nuestra Constitución Española del año 1978.

Contamos con el comentario de una reciente sentencia del Tribunal Supremo (TS) que resuelve en casación un recurso interpuesto por el Arzobispado de Valencia contra una sentencia de la Audiencia Nacional (AN) en la que consideraba ésta que los Libros de Bautismo eran ficheros y que como tales contenía datos personales. Estudiemos y analicemos este escrito:

Como he mencionado antes,estamos ante un Recurso de Casación, concretamente el 6031/2007 que resuelve y contradice el Recurso Contencioso-Administrativo 171/06 de 10 de octubre de 2007 de la Audiencia Nacional.

Una persona física pretende ejercer el derecho de cancelación y de forma exhaustiva,la cancelación de la anotación de su bautismo en el libro de éstos. Por otra parte,el Arzobispado de la ciudad española de Valencia no lo considera apropiado y se niega por completo a que el particular satisfaga sus propios intereses;intereses que de forma evidente están recogidos en la propia LOPD (acceso,rectificación,CANCELACION,oposición,bloqueo).

La Agencia Española de protección de Datos (en adelante AEPD) es el máximo órgano administrativo encargado de velar por los intereses de los perjudicados/personas físicas y emite una resolución contraria a su vez a la sentencia que es recurrida por la parte actora; en este caso el Arzobispado de Valencia.

La AN mediante Recurso Contencioso-Administrativo razona diversos fundamentos a modo de ejemplo el quinto y como ámbito objetivo:

“En primer lugar,ha de tratarse de datos de carácter personal y los que constan en el Libro de Bautismo lo son,pues se concretan en el nombre y apellidos del bautizado entre otros. En este sentido,el artículo 3.a) de la citada LO 15/1999,dispone que son datos de carácter personal”cualquier información concerniente a personas identificadas o identificables” y el nombre y apellidos insistimos lo son pues revelan una información de identificación del titular de los datos,como esta sala ha venido declarando con reiteración”.

La parte actora considera que los Libros de Bautismo carecen por completo de la consideración de ficheros y por tanto no hay datos personales. La complejidad radica en que se produce un conflicto de derechos:el alegado por el Arzobispado de Valencia que aduce que se está vulnerando el artículo 1.6 de los Acuerdos Jurídicos entre la Santa Sede y el estado español de 3 de Enero de 1979;que nos encontramos ante un tratado internacional que ya forma parte del derecho internacional de España (artículos 94 y 95 de la CE9 y que aun cabiendo la posibilidad de haber un derecho vulnerado de protección de datos personales la libre organización y funcionamiento de su plena autonomía debe establecerse y no obligar por tanto al Arzobispado de Valencia a realizar las anotaciones precisamente en el Libro de Bautismos (dejamos para después las opiniones personales);así lo dice el fundamento octavo de la todavía analizada sentencia de la AN:

“Invoca igualmente la entidad actora su plena autonomía en el establecimiento de sus formas de organizase y funcionar en cuanto manifestación de su derecho fundamental a la libertad religiosa (artículos 16.1 CE y artículo 6 LO 7/1980 de Libertad Religiosa).La llevanza de sus libros y su intangibilidad sería por tanto una manifestación de ese derecho fundamental que operaría como límite del derecho a la protección de datos del afectado,en cualquiera de sus manifestaciones,de suerte que una manifestación integrada en el Estado,como es la AEPD,encargada de velar por este último derecho,no podría cursarle órdenes que fuesen contrarias a sus propias normas de funcionamiento”.

En la representación del recurrente se formulan tres motivos de recurso,el primero:la infracción de dicho artículo 1.6 de los Acuerdos Santa Sede-estado español,al amparo del artículo 88.1 d) de la Ley Jurisdiccional.

El segundo motivo es la vulneración del artículo 6 de la Ley Orgánica de Libertad Religiosa en relación con el artículo 16.1 de la CE,en función de lo recientemente anotado:la autonomía en el establecimiento de sus formas de organización y establecimiento.

Y por último el tercer motivo de recurso es al amparo del también artículo 88.1 d) de la Ley Jurisdiccional en el que se consideran vulnerados los artículos 2,4,5 y 11 de la vigente LOPD,considerando que los Libros de Bautismo no son ficheros,sino hechos históricos en un momento dado. Incluye también que estos libros no están ordenados ni alfabéticamente ni por fecha de nacimiento,sino de bautismo.

Siguiendo la Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de Octubre de 1995,referente a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de éstos,se define fichero como “todo conjunto organizado de datos de carácter personal,cualquiera que fuera la forma o modalidad de su creación,almacenamiento,organización y acceso”.Quiero por tanto dejar mi opinión en relación a la amplia definición de fichero que se ha leído:que pese a que no están ordenados ni alfabéticamente ni por fechas de nacimiento,sí lo están por bautismo y accediendo a éstos,podríamos llegar a saber mas datos personales de cualquiera. Me aproximo en este sentido a la doctrina de la AN de que la información que aparece en los libros de bautismo son datos personales y que aquéllos son ficheros strictu sensu;la ley evidentemente debería ser de aplicación en este caso y sí cabría fundamentar la práctica de anotación marginal.

La LOPD en su artículo 3 a) dispone que son de carácter personal “cualquier información concerniente a personas físicas identificadas o identificables”.Los nombres y apellidos son bajo mi punto de vista datos personales y deben estar completamente protegidos. El hecho de considerar que el fichero es un Libro de Bautismo no nos debe apartar de la consideración de encontrarse en un soporte físico y la ley habla perfectamente de soportes físicos u otros.

Resumiendo hasta ahora:tenemos nombre y apellidos (datos personales) que aparecen en un fichero registrado en soporte físico (Libro de Bautismos) y que pueden ser fácilmente tratados;atendemos en este caso a la definición de tratamiento;amplia definición por otro lado según los preceptos legales cuando nos referimos a la expedición de una partida de bautismo,pero incluso en estas partidas se hace referencia a personas fallecidas;¿a donde nos lleva esto?;pues a que los datos no están actualizados ni son veraces;vulneración también del artículo 4.3 de la LOPD: “Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado”.De hecho,creo que podría tratarse de una infracción del principio de información puesto que contamos con datos de personas ya fallecidas y esos ficheros no han sido actualizados.

Según el Tribunal Supremo,no hay inexactitud de los datos y no es discutible;puede ser que todo lo reflejado en los Libros de Bautismo sea absolutamente certero,pero el criterio histórico a mi modo de ver no debería reflejarse aquí:serán datos históricos pero al fin y al cabo son datos personales,pues pueden comprobarse sus nombres y apellidos.

También me gustaría hacer referencia a un fragmento de este Recurso de Casación en lo atinente a la globalidad de procesos. Puede llegar uno a pensar en la informatización de esas partidas de bautismo;si así fuese ya estaríamos hablando de datos personales y en ficheros automatizados. Si además añadimos la posibilidad de entrecruzar esos datos de bautismo o acceder a ellos por parte de terceros,el resultado final es que con esas aplicaciones informáticas sabemos perfectamente los datos personales de los bautizados y aun así la doctrina del TS seguiría negando la consideración de los Libros de Bautismos como ficheros en sí.

Me aproximo mucho mas a la idea mostrada por la AN en su Recurso Contencioso-Administrativo de pensar en datos personales los reflejados en los Libros de Bautismos;en pensar que estos son ficheros (automatizados o no) y que el particular-persona física debería tener derecho a que se realizase por parte del Arzobispado de Valencia nota marginal en sus correspondientes Libros de Bautismos. El fallo definitivo que resuelve el TS es que casa y anula lo decidido por la AN y estima el inicial Recurso Contencioso-Administrativo interpuesto por aquel Arzobispado.

Como información añadida mencionar según nota de prensa de la propia AEPD que ésta recurrirá la sentencia del TS sobre cancelación de datos en los Libros de Bautismos,para ello presentará un incidente de nulidad de actuaciones ante el TS y de no prosperar este trámite interpondrá Recurso de Amparo ante el Tribunal Constitucional (TC).

01Sep/02

Requerimientos de inscripción de los ficheros

Requerimientos de inscripción de los ficheros

La Inscripción en el Registro General de Protección de Datos que la Agencia de Protección de Datos ha habilitado al efecto es la obligación previa en esta materia. El criterio determinante de la inscripción es bastante claro: TODOS los ficheros que contengan datos de carácter personal han de estar inscritos en el Registro, con el solo elemento caracterizador de que se trate de datos relativos a personas físicas. Ello se deduce de los siguientes preceptos:

Articulo 2.1 de la LOPD:
“La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado.”

Artículo 3 a) de la LOPD, definición de dato:
“cualquier información concerniente a personas físicas identificadas o indentificables”.

Es claro que la LOPD y el Reglamento no se ocupa de los datos de las Personas Jurídicas. Sin embargo, también es claro el ámbito enorme y devastador de la norma. Además, pensemos que un fichero automatizado formado por facturas de personas jurídicas pudiera contener también datos de empresas societarias unipersonales, profesionales autónomos, etc: esto lo convierte en un “fichero que contiene datos de carácter personal”, con lo que las medidas de seguridad deberán de ser impuestas.

No confundir, sin embargo con la OBLIGACIÓN de su inscripción: ésta atañe tanto a personas físicas (por ejemplo, y repito, profesionales liberales -abogados-) como a personas jurídicas (incluso públicas) que procedan a la creación de ficheros que contengan datos de carácter personal. Es decir, el criterio delimitador para someterse a las medidas de seguridad -y por extensión, a la primera de ellas, la inscripción- es simplemente, “que haya datos que hagan referencia a personas físicas”. Y estos datos pueden venir creados por cualquier tipo de persona física -en un ámbito profesional- o jurídica -independientemente de su forma societaria, incluida las públicas-.

El Registro General de Protección de datos puede ser consultado online en el sitio http://www.agenciaprotecciondatos.org/regis.html. Actualmente hay unos 250.000 ficheros, lo cual significa que existen una mayoría no legalizados. Y eso a pesar de las facilidades que la Agencia ha incluido para dar facilidades a la hora de su inscripción.

Básicamente, los ficheros pueden ser inscritos a través de un software que está disponible en la página web anteriormente referenciada o rellenando el formulario existente en la web. Hay que señalar que la Agencia no contiene la información de los ficheros a inscribir, sino una descripción de éstos y la dirección donde los afectados pueden ejercer sus derechos.

Por tanto, cuando hablamos de “registrar” un determinado fichero, no hablamos de proporcionar a la agencia dicho fichero: solo la información descriptiva a éste y los datos que el registro requiere, a saber: nombre del fichero, descripción, finalidad y dirección del responsable del fichero (para que se puedan ejercer los derechos de acceso, rectificación, etc…).

Aunque existen una gran cantidad de ficheros no inscritos, si no se notifica la existencia de un fichero, podría incurrirse en falta leve o grave, tal y como señala el artículo 44 de la Ley, quedando sujeto al régimen sancionador previsto.