?>
1

Autor: Eric Gracia González. Abogado Derecho.com.

El pasado 15 de Julio de 2010, la Sala Tercera del Tribunal Supremo dictó tres sentencias resolviendo los recursos contencioso administrativos promovidos en 2008 por la Federación de Comercio Electrónico y Marketing Directo (antes FECEMD y ahora ADIGITAL), la Asociación Nacional de Establecimientos Financieros de Crédito (ASNEF) y el Experian Bureau de Crédito, S.A. contra el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (en adelante, “Reglamento de Protección de Datos”).

 El resultado ha sido la anulación de los siguientes artículos de dicha norma:

 Art. 11. “Verificación de datos en solicitudes formuladas a las Administraciones públicas.

Cuando se formulen solicitudes por medios electrónicos en las que el interesado declare datos personales que obren en poder de las Administraciones públicas, el órgano destinatario de la solicitud podrá efectuar en el ejercicio de sus competencias las verificaciones necesarias para comprobar la autenticidad de los datos.”

El Tribunal Supremo considera que el artículo permite a las Administraciones públicas realizar cesiones de los datos contenidos en las solicitudes que se le presentan, sin atender a los requisitos establecidos por los artículos 6 y 11 de la LOPD.

Art. 18. “Acreditación del cumplimiento del deber de información.

1. El deber de información al que se refiere el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, deberá llevarse a cabo a través de un medio que permita acreditar su cumplimiento, debiendo conservarse mientras persista el tratamiento de los datos del afectado.

2. El responsable del fichero o tratamiento deberá conservar el soporte en el que conste el cumplimiento del deber de informar. Para el almacenamiento de los soportes, el responsable del fichero o tratamiento podrá utilizar medios informáticos o telemáticos. En particular podrá proceder al escaneado de la documentación en soporte papel, siempre y cuando se garantice que en dicha automatización no ha mediado alteración alguna de los soportes originales.”

Es sin duda el “recorte” más relevante hecho al Reglamento de Protección de Datos, ya que este artículo regula una obligación que, en la práctica, afecta a todos los responsables de fichero con independencia de su sector de actividad.  

Así, el Tribunal Supremo interpreta que obligar a las empresas a que tengan que acreditar el cumplimiento de su deber de informar mediante una prueba que, necesariamente, deba constar documentalmente o en medios informáticos o telemáticos, constituye una obligación ex novo adicional al deber de información previsto en la LOPD, que nada dice en cuanto a la forma mediante la que debe facilitarse dicha información.

Por tanto, concluye que la LOPD ha optado por la libertad de forma a la hora de informar a un afectado (escrita, verbal, telemática, etc.), mientras que el Reglamento de Protección de Datos precisa la forma en que debe constar la prueba del cumplimiento de dicho deber, contraviniendo así la Ley.

Aunque muchos han querido ver en la anulación de este precepto la oportunidad para dejar de guardar prueba del cumplimiento de su obligación de informar a los afectados cuando recaban sus datos, en mi opinión poco ha cambiado la situación.

En primer lugar, hay que tener en cuenta que sigue vigente el artículo 12 del Reglamento de Protección de Datos, que literalmente establece:

“1. El responsable del tratamiento deberá obtener el consentimiento del interesado para el tratamiento de sus datos de carácter personal salvo en aquellos supuestos en que el mismo no sea exigible con arreglo a lo dispuesto en las leyes.

La solicitud del consentimiento deberá ir referida a un tratamiento o serie de tratamientos concretos, con delimitación de la finalidad para los que se recaba, así como de las restantes condiciones que concurran en el tratamiento o serie de tratamientos.

2. Cuando se solicite el consentimiento del afectado para la cesión de sus datos, éste deberá ser informado de forma que conozca inequívocamente la finalidad a la que se destinarán los datos respecto de cuya comunicación se solicita el consentimiento y el tipo de actividad desarrollada por el cesionario. En caso contrario, el consentimiento será nulo.

3. Corresponderá al responsable del tratamiento la prueba de la existencia del consentimiento del afectado por cualquier medio de prueba admisible en derecho.

Queda claro pues que subsiste la obligación de guardar la prueba del consentimiento dado por el afectado. Además, hemos visto que dicho consentimiento es informado, es decir, que debe estar referido a un tratamiento o serie de tratamientos concretos, con lo que, irremediablemente, dicha prueba deberá contener la información a que hace referencia el artículo 5.1 de la LOPD en cuanto a finalidad de la recogida de los datos, destinatarios de la información, etc.). Dicha prueba deberá constar en un medio de prueba admitido en Derecho.

Pero es que no hay que olvidar que si un particular denuncia a una empresa ante la Agencia Española de Protección de Datos por no haber sido informado tal y como establece el artículo 5.1 de la LOPD, recaerá en la empresa la carga de probar su cumplimiento de dicho deber de información, para lo cual deberá contar con un medio de prueba admisible en Derecho que lo demuestre.

 Art. 38.1. “Requisitos para la inclusión de los datos.

Sólo será posible la inclusión en estos ficheros de datos de carácter personal que sean determinantes para enjuiciar la solvencia económica del afectado, siempre que concurran los siguientes requisitos:

a) Existencia previa de una deuda cierta, vencida, exigible, que haya resultado impagada y respecto de la cual no se haya entablado reclamación judicial, arbitral o administrativa, o tratándose de servicios financieros, no se haya planteado una reclamación en los términos previstos en el Reglamento de los Comisionados para la defensa del cliente de servicios financieros, aprobado por Real Decreto 303/2004, de 20 de febrero.

b) Que no hayan transcurrido seis años desde la fecha en que hubo de    procederse al pago de la deuda o del vencimiento de la obligación o del plazo concreto si aquélla fuera de vencimiento periódico.

c) Requerimiento previo de pago a quien corresponda el cumplimiento de la obligación.

De este artículo sólo se ha anulado la frase subrayada de la letra a), por entender el Tribunal Supremo que no responde a la previsión legal del artículo 4.3 de la LOPD: “Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado.”

Así, se argumenta que la defectuosa redacción de la frase no concreta aquellos procedimientos que justifican la no inclusión en los ficheros de las deudas a que aquellos se refieren, vaguedad que permite considerar que incluso cuando la reclamación se formule por el acreedor existe la imposibilidad de incluir los datos en el fichero.

Art. 38.2. “No podrán incluirse en los ficheros de esta naturaleza datos personales sobre los que exista un principio de prueba que de forma indiciaria contradiga alguno de los requisitos anteriores.

Tal circunstancia determinará asimismo la cancelación cautelar del dato personal desfavorable en los supuestos en que ya se hubiera efectuado su inclusión en el fichero.”

Tal y como expone el Tribunal Supremo, este precepto viene a significar que si hay un principio de prueba que de forma indiciaria contradiga los requisitos exigidos en el apartado 1 del artículo 38 para la inclusión de los datos en los ficheros de solvencia económica, dichos datos no podrán incluirse en el fichero. Más aún, en el párrafo segundo del apartado 2 del artículo 38 se considera como suficiente ese principio de prueba para la cancelación cautelar del dato personal desfavorable que se hubiera incluido.

El problema está en que se traslada la carga de la prueba de la concurrencia de los requisitos previstos en el artículo 38.1 al encargado del tratamiento, haciéndolo en unos términos que originan una gran inseguridad jurídica que puede dar lugar a la apertura de expedientes sancionadores.

Art. 123.2. “En supuestos excepcionales, el Director de la Agencia Española de Protección de Datos podrá designar para la realización de actuaciones específicas a funcionarios de la propia Agencia no habilitados con carácter general para el ejercicio de funciones inspectoras o a funcionarios que no presten sus funciones en la Agencia, siempre que reúnan las condiciones de idoneidad y especialización necesarias para la realización de tales actuaciones. En estos casos, la autorización indicará expresamente la identificación del funcionario y las concretas actuaciones previas de inspección a realizar.”

La anulación del precepto se fundamenta en que ni la LOPD ni la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, contemplan o amparan esa facultad dada al Director de la Agencia por el Reglamento de Protección de Datos, máxime cuando no se concretan esos “supuestos especiales” a los que hace referencia.

Como valoración final, puede verse que la anulación de los artículos realizada por el Tribunal Supremo no tiene demasiada trascendencia para la mayoría de los responsables de fichero pertenecientes al sector privado, ya que, salvo el artículo 18, el resto hacen referencia a las administraciones Públicas o a cuestiones relacionadas con los ficheros de solvencia patrimonial y crédito.

Continue Reading

0

La biometría es una tecnología de identificación basada en el reconocimiento de una característica física e intransferible de las personas, como por ejemplo puede ser la huella digital.

Es un sistema que reconoce a la persona basado en “quién” es dicha persona. De esta forma, no es necesario utilizar llaves, tarjetas de identificación o contraseñas para acceder a las oficinas o a los sistemas de información y se evita el riesgo de pérdidas, robos, duplicados u olvidos.

Pues bien, si tu empresa considera que ha llegado la hora de implantar un sistema biométrico, debes tener en cuenta las siguientes obligaciones/garantías desde el punto de vista de la normativa de protección de datos:

1. Modificar ante la Agencia Española de Protección de Datos el fichero de Personal o Recursos Humanos, a los efectos que éste incluya como campo de información los datos biométricos de los trabajadores, así como para que se especifique la nueva finalidad del fichero (en el caso del ejemplo, la finalidad será el control de presencia).

2. En el momento de convocar a los trabajadores para realizar la primera lectura biométrica de sus dedos, deberá darse cumplimiento estricto al deber de información previsto en el artículo 5 de la LOPD. En este sentido, se les deberá informar de modo expreso, preciso e inequívoco:

a)  De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de dichos datos y de los destinatarios de la información.
b)   Del carácter obligatorio o facultativo de su respuesta a las preguntas que le sean planteadas.
c)   De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
d)   De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
e)   De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

No será necesaria la información a que se refieren las letras b), c) y d) si el contenido de ellas se deduce claramente de la naturaleza de los datos personales que se solicitan o de las circunstancias que se recaban.

Llegado este punto conviene recordar que corresponde a la empresa la carga de probar que ha dado cumplimiento a dicho deber de información.

3.
Por último la empresa, para proteger la base de datos donde se almacenen los datos biométricos, deberá adoptar todas las medidas de seguridad de NIVEL BÁSICO previstas en el Reglamento de Protección de Datos.

Continue Reading

0

Autora: Gemma Llonch. Abogada Derecho.com.

La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal es de aplicación para todos aquellos datos de carácter personal registrados en soporte físico que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado, siendo datos de carácter personal, “cualquier información concerniente a personas físicas identificadas o identificables” (arts. 2 y 3 LOPD).

Frente a este concepto encontramos el de dato disociado.

El artículo 5.1 e) del Real Decreto 1720/2007, por el cual se aprueba el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos Personales, define los datos disociados como “aquellos que no permiten la identificación de un afectado o interesado”.

Por lo tanto, teniendo en cuenta los artículos citados, no se estará dentro del ámbito de aplicación de la LOPD cuando se esté tratando únicamente datos disociados que no permitan la identificación del afectado.

Esta diferenciación resulta de gran importancia cuando se plantea la posibilidad de ceder datos. El artículo 11 de la LOPD sólo permite la comunicación de datos a un tercero si se cumplen una serie de requisitos. Así pues, una empresa que entregara a otra un fichero de datos que identificaran claramente a sus clientes para la realización de un estudio de mercado que determinara las zonas de más venta, estaría realizando una cesión de datos, y podría tener problemas si no cuenta con el consentimiento previo de sus clientes.

Sin embargo, el artículo 11.6 de la Ley Orgánica establece que “Si la comunicación se efectúa previo procedimiento de disociación, no será aplicable lo establecido en los apartados anteriores”. Por lo tanto, si la empresa de nuestro ejemplo comunicara solamente aquellos datos relativos al número de ventas realizadas en relación con las provincias de origen de los compradores no estaría incurriendo una cesión de datos personales, puesto que se trataría de datos disociados mediante los cuales sería imposible determinar la identidad de los clientes.

Algunas de las situaciones en las que deben mantenerse disociados los datos son las siguientes:

Deben mantenerse disociados los datos de los pacientes de centros sanitarios de interrupción voluntaria del embarazo, cuando se acceda a los mismos para fines judiciales, epidemiológicos, de investigación o de docencia. Cuando sea necesario el acceso a los datos de la historia clínica con estas finalidades, deberá someterse a una previa disociación de los datos contenidos en la misma de manera que quede asegurado el anonimato de la paciente (a menos que la interesada haya prestado su consentimiento para ello).

Asimismo, deben mantenerse disociados los datos relativos a las personas participantes en ensayos clínicos para que sólo el investigador conozca la identidad de los participantes en los mismos. Los monitores y el promotor reciben información asociada a unas iniciales o códigos específicos, con la finalidad de que los participantes no puedan ser identificados.

Continue Reading

0

La Ley de Protección de Datos y su correspondiente Reglamento de desarrollo reconocen a aquellas personas cuyos datos personales sean incorporados en un fichero, un conjunto de derechos. En este sentido, todo Responsable de Ficheros con datos de carácter personal tendrá la obligación de garantizar estos derechos a los afectados.

Los derechos mencionados: derecho de acceso, rectificación, cancelación y oposición son personalísimos, y por lo tanto, son inalienables e imprescriptibles, sólo admiten el goce por parte de su titular, por sus representantes legales (en caso de incapacitados y menores de edad) o representantes voluntarios que puedan acreditar que han sido designados expresamente por el afectado (por ejemplo, aportando copia del DNI).

El Responsable de los ficheros deberá poner a disposición del afectado medios sencillos y gratuitos para el ejercicio de estos derechos, medios acerca de los cuales habrá informado al afectado en el momento de recogida de sus datos. El envío de cartas certificadas o la utilización de servicios de telecomunicaciones que implique una tarificación adicional para el afectado no se admiten por considerarse demasiado costosos para el afectado. En cambio, el Responsable de los ficheros podrá valerse de su servicios de atención al público para cumplir con esta obligación siempre que estos permitan comprobar la identidad de la persona que ejerce tales derechos.

Básicamente, la comunicación dirigida al Responsable contendrá:

  • Nombre y apellidos del interesado, fotocopia de su DNI o pasaporte o firma electrónica identificativa y en su caso, el de su representante.
  • Petición en que se concreta la solicitud.
  • Dirección a efectos de notificaciones, fecha y firma del solicitante.
  • Otros documentos acreditativos, en su caso.

Resulta primordial atender a las solicitudes de acceso, rectificación, cancelación u oposición de los afectados, incluso en aquellos casos en los que la solicitud recibida no reúna los requisitos legalmente establecidos (solicitando la subsanación del defecto), y deberá poder demostrarse siempre que ha existido tal respuesta.

La Ley ha fijado plazos máximos para dar respuesta a las solicitudes de los afectados, estos plazos varían en función del derecho ejercido (de 10 días a 1 mes). Resulta muy importante tener presentes dichos plazos ya que transcurridos los mismos sin que el Responsable haya dado respuesta expresa el afectado podrá interponer una reclamación ante la Agencia Española de Protección de Datos y esta acción puede desembocar en una sanción de 600 a 60.000 €.

Asimismo, si el afectado ejercitase su derecho ante uno de los encargados del tratamiento del Responsable, el encargado deberá comunicar dicha solicitud al responsable para que el afectado pueda ser atendido, otra opción consistirá en atenderlo él mismo si así se ha acordado.

Continue Reading

0

Un reciente informe de la AEPD (Informe 9/2010) viene a confirmar el criterio de la Agencia respecto a que “La referencia exclusiva al hecho de estar de baja o de alta, no es por sí misma un dato de salud“. Si esa información no va acompañada de la causa de la baja laboral debe considerarse exclusivamente como un dato de carácter personal de nivel básico.

Un ejemplo: Si sabemos que una persona ha estado “X” días de baja o que en los últimos meses ha caído en distintas bajas de forma repetida, esta información no es obligatorio que se trate como un dato especialmente protegido (según la AEPD).

Continue Reading

0

Autora: Lilian Issa. Abogada del Derecho.com

El día 7 de abril de 2010 tuvo lugar en la Facultad de Medicina de la Universidad de Barcelona, una conferencia organizada por Farmaindustria y el Hospital Clínic, junto con la colaboración de varios laboratorios, sobre el Código Tipo de Farmaindustria de Protección de Datos Personales en el ámbito de la investigación clínica y de la farmacovigilancia. […]

Continue Reading

0

La huella dactilar así como otros datos biométricos son considerados de acuerdo con la ley, como datos de carácter personal. El artículo 5. 1 f) del Reglamento de desarrollo de la Ley Orgánica 15/1999, aprobado por Real Decreto 1720/2007, considera datos de carácter personal a Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables.” y añade en el artículo 5.1.o) que será persona identificable “toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social. Una persona física no se considerará identificable si dicha identificación requiere plazos o actividades desproporcionados”. […]

Continue Reading

0

El Tribunal Supremo acaba de rectificar el criterio de la AEPD y de la Audiencia Nacional respecto al ejercicio del derecho de acceso.

Según el Tribunal Supremo (en adelante, TS), el hecho de ofrecer en una página web la posibilidad permanente a los usuarios de acceder a sus datos personales por vía informática es más que suficiente para atender de forma correcta el derecho de acceso a los datos que contempla la Ley Orgánica de Protección de Datos. […]

Continue Reading

0

¿Podemos dar opiniones o valoraciones sobre un ex empleado si alguien nos llama y pide referencias? Con la LOPD condicionando cada vez más aspectos cotidianos de nuestras vidas, muchas de las prácticas que hasta ahora nos resultaban normales e incluso socialmente aceptadas pueden llegar a convertirse en potencialmente peligrosas. Un claro ejemplo de ello lo encontramos en la entrega de referencias de un ex empleado. […]

Continue Reading

0

¿Se pueden aportar datos de carácter personal en un juicio sin vulnerar la LOPD? Una las dudas que podemos encontrar durante los procesos judiciales donde entra en juego la normativa de protección de datos es la aportación de pruebas documentales donde aparezcan datos personales. […]

Continue Reading