VISIÓN GENERAL DE LA PROTECCIÓN DE DATOS

Con motivo de la entrada en vigor de la Ley Orgánica de Protección de Datos de Carácter Personal 15/1999, de 13 de Diciembre surgen una serie de obligaciones para aquellas empresas que posean ficheros con datos de carácter personal.

Así mismo, desde el 26 de Junio de 1999 está en vigor el Reglamento de Seguridad (R.D. 994/99 de 11 de junio) que desarrolla la mencionada Ley Orgánica y que establece la obligación de las empresas de poner en marcha diversas medidas destinadas a garantizar la protección de dichos datos, afectando a sistemas informáticos, archivos de soportes de almacenamiento, personal, procedimientos operativos, etc. Es por ello que toda empresa ha de adecuarse a esta normativa con el fin de cumplir todas las exigencias legales establecidas.

I.RÉGIMEN JURÍDICO.

• Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de Octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de datos.
• Ley Orgánica 15/99, de 13 de Diciembre, de Protección de Datos de Carácter Personal.
• Real Decreto 1332/1994, de 20 de Junio, por el que se desarrolla determinados aspectos de la Ley Orgánica 5/1992, de 29 de octubre, de regulación del tratamiento automatizado de los datos de carácter personal.
• Real Decreto 994/1999, de 11 de Junio, por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal.
• Real Decreto 195/2000, por el que se establece el plazo para implantar las medidas de seguridad de los ficheros automatizados previstas por el Reglamento aprobado por el Real Decreto 994/1999, de 11-6-1999.

II. ANÁLISIS.

¿Qué es un dato de carácter personal?

La Ley 15/99 en su artículo 3 a) define dato de carácter personal como cualquier información concerniente a personas físicas identificadas o identificables.

La definición que nos ofrece esta Ley es poco clara, parece que dentro de la misma cabe infinidad de conceptos.

Con el término tratamiento se alude a todo tipo de operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.

Resulta un definición muy amplia, pero el Legislador lo quiso así para poder encuadrar dentro de la misma cualquier supuesto de tratamiento que surja como consecuencia del avance de la tecnologías.

El objeto de la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal (LORTAD), hoy derogada, era menos amplio ya que sólo era aplicable a los ficheros automatizados, en cambio la LOPD incluye también dentro de su ámbito de aplicación los no automatizados, artículo 3 c) “ operaciones y procedimientos técnicos de carácter automatizado o no.”

Ámbito de aplicación.

1 Ámbito objetivo. Artículo 2 a).

La LOPD es aplicable a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado.

Está excluidos de protección. Artículo 2.2:

Los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas. Por ejemplo una agenda personal no es un fichero sometido a la aplicación de esta Ley.

Los ficheros sometidos a la normativa sobre protección de materias clasificadas. Se refiere a los informes relativos a la defensa nacional y protección del Estado. Estos datos se regulan en la Ley 9/68 de Secretos Oficiales modificada por la Ley 48/78.

Los ficheros establecidos para la investigación del terrorismo y de formas graves de delincuencia organizada. En estos supuestos el responsable del fichero comunicará previamente la existencia del mismo, sus características generales y su finalidad a la Agencia de Protección de Datos. Con esta exclusión se protege un interés más fuerte que la intimidad.

2 Ámbito espacial. Artículo 2.1 2º:

Se regirá por la presente Ley Orgánica todo tratamiento de datos de carácter personal:

• Cuando el tratamiento sea efectuado en territorio español en el marco de la actividades de un establecimiento del responsable del tratamiento.
• Cuando al responsable del tratamiento no establecido en territorio español, le sea de aplicación la legislación española en aplicación de normas de Derecho Internacional Público.
• Cuando el responsable de tratamiento no esté establecido en territorio de la Unión Europea y utilice en el tratamiento de los datos medios situados en territorio español, salvo que tales medios se utilicen únicamente con fines de tránsito.

3 Ámbito subjetivo.

La Ley trata de proteger los derechos fundamentales y las libertades públicas y en particular el derecho a la intimidad y el honor de la personas físicas, la Directiva 95/46 del Parlamento Europeo y del Consejo de 24 de Octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y a la libre circulación de estos datos, excluye en su artículo 24 a las personas jurídicas: “las legislaciones relativas a la protección de las personas jurídicas respecto del tratamiento de los datos que las conciernan no son objeto de la presente Directiva”

Principios de la protección de datos

Calidad de los datos. Artículo 4.

Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos, en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido. Estos condicionantes han de ponerse en relación con el caso en concreto.

Finalidad.

Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para la que los datos se hubieran recogido. No se considerará incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos. La Ley habla de finalidades incompatibles, la LORTAD hablaba de finalidades distintas. A estos efectos la Agencia de Protección de Datos (APD) interpreta incompatible como distinto.

Los datos de carácter personal incorporados al fichero han de responder a la situación actual, de manera que recojan todas las modificaciones surgidas, y una vez incorporadas responderán a la realidad.

Así mismo, los datos de carácter personal han de ser exactos, de manera que si resultan ser inexactos o incompletos, en todo o en parte, han de ser cancelados o sustituidos de oficio por el responsable del fichero.

Cuando se ha cumplido la finalidad para la que se recabaron los datos han de ser cancelados o destruidos, en caso de no ser posible han de ser bloqueados.

• Artículo 1.1 del R.D 1332/94: “bloqueo de datos: la identificación y reserva de datos con el fin de impedir su tratamiento”.
• Artículo 16 del R.D 1332/94 “en los casos en que, siendo procedente la cancelación de los datos, no sea posible su extinción física, tanto por razones técnicas como por causa del procedimiento o soporte utilizado, el responsable del fichero procederá al bloqueo de los datos, con el fin de impedir su ulterior proceso o utilización”.

No serán conservados en forma que permita la identificación del interesado durante un periodo superior al necesario para los fines en base a los cuales hubieran sido recabados o registrados.

Se prohíbe la recogida de datos por medio de medios fraudulentos, desleales o ilícitos.

Información. Artículo 5.

Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:

a) De que sus datos van a ser incluidos en un fichero, de la finalidad de la recogida y de los destinatarios de la información.
b) De la obligatoriedad o no de dar esos datos.
c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
d) De la posibilidad de ejercer los derechos de acceso, rectificación, cancelación y oposición.
e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante para que los afectados puedan ejercer sus derechos.

Todas estas advertencias deberán ser recogidas en aquellos cuestionarios e impresos utilizados para la recogida de los datos.

No será necesaria la información a que se refieren los puntos b), c) y d) si el contenido de ellas se deduce claramente de la naturaleza de los datos personales que se solicitan o de las circunstancias en que se recaban. Las empresas no necesitan pedir a sus empleados cada mes los datos necesarios para realizar las nóminas, ya que hay una relación laboral.

Consentimiento. Artículo 6.

La LORTAD no hacía referencia al consentimiento ni a sus requisitos, sin embargo la LOPD establece que el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco, es decir, expreso o tácito, del afectado, salvo que la ley disponga otra cosa. El artículo 7.2 de este mismo texto legal exige para los datos especialmente protegidos consentimiento expreso y por escrito dada la importancia de los mismos.

Cuando los datos de carácter personal están recogidos en fuentes accesibles al público, que según el artículo 3.j son “aquellos ficheros cuya consulta puede ser realizada, por cualquier persona, no impedida por una norma limitativa o sin más exigencia” .Tienen la consideración de fuentes accesibles al público, exclusivamente:

• El censo promocional.
  
• Los repertorios telefónicos.
  
• Las listas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo.
  
• Los diarios y boletines oficiales.
  
• Los medios de comunicación.

No será preciso el consentimiento:

• Cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones públicas en el ámbito de sus competencias.

• Cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento.

• Cuando el tratamiento de datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7.6 de la presente Ley.

En estos casos en los que no es necesario el consentimiento del afectado, éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En tal supuesto, el responsable del fichero excluirá del tratamiento los datos relativos al afectado.

Seguridad de los datos. Artículo 9.

El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativa necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado.

El responsable del fichero es la persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento. Artículo 3.d.

El encargado de tratamiento es la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento. Artículo 3.g.

Deber de secreto. Artículo 10.
Tanto el responsable del fichero, como el encargado de tratamiento, así como cualquier persona que intervenga en cualquier fase del proceso, están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.

Derechos de los afectados.

Estos son derechos personalísimos por lo que sólo están legitimados, el afectado o su representante, y en caso de que sea menor o incapacitado será necesario poder.

Derecho de impugnación de valores. Artículo 13.

Los ciudadanos tienen derecho a no verse sometidos a una decisión con efectos jurídicos, sobre ellos o que les afecte de manera significativa, que se base únicamente en un tratamiento de datos destinados a avaluar determinados aspectos de su personalidad. Así mismo, podrán impugnar los actos administrativos o decisiones privadas que impliquen una valoración de su comportamiento, cuyo único fundamento sea un tratamiento de datos de carácter personal que ofrezca una definición de sus características o personalidad.

La Ley no obliga a que se informe a los afectados de este derecho. El único caso en que esta valoración puede ser utilizada como prueba es cuando el afectado decida que así sea.

Derecho de consulta al Registro General de Protección de Datos. Artículo 14.

Cualquier persona podrá conocer, recabando a tal fin la información oportuna del RGPD, la existencia de tratamientos de datos de carácter personal, sus finalidades y la identidad del responsable del tratamiento. El Registro es de consulta pública y gratuita.

Con dicha consulta no es posible conocer si determinada empresa tiene datos personales nuestros, sólo podemos saber si tiene declarados los ficheros con datos de carácter personal, pero no podemos acceder al contenido de los mismos.

Existen varias posibilidades de acceso al Registro:

• Dirigiendo un escrito al Registro de la Agencia de Protección de Datos o al Director de la misma. En él hay que hacer constar los datos del afectado, domicilio a efectos de notificaciones y CIF de la empresa en cuestión.
• Acceder a la página web d la APD: www.agenciaprotecciondatos.org.
• Personarse en las oficinas de la APD, sita en calle Sagasta nº 22. 28004. Madrid, en “atención al cliente” aportando igualmente el CIF de la empresa.

Derecho de acceso. Artículo 15 LOPD y artículo 12 R.D 1332/94.

El interesado tendrá derecho a solicitar por escrito, ya que si no queda constancia se entiende que no se ha realizado, y obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, el origen de dichos datos, así como las comunicaciones realizadas o que se prevén hacer de los mismos.

El interesado podrá optar por uno o varios de los siguientes sistemas de consulta del fichero que deberá determinar en la petición de acceso:

• Visualización en pantalla.
• Escrito, copia o fotocopia remitida por correo.
• Telecopia.
• Cualquier otro procedimiento que sea adecuado a la configuración e implantación material del fichero, ofrecido por el responsable del mismo.

Este derecho sólo podrá ser ejercitado a intervalos no inferiores a doce meses, salvo que el interesado acredite un interés legítimo al efecto, en cuyo caso podrá ejercitarlo antes.

El responsable del fichero cuenta con el plazo de un mes desde que recibe la petición por escrito para responder, necesariamente ha de contestar diciendo si tiene o no datos de carácter personal del solicitante. En caso de no obtener respuesta se entiende desestimada la petición de consulta por lo que se podrá acudir a la APD y denunciar el hecho.

En caso de que sea estimada la petición, el interesado dispone de diez días para ejercer este derecho.

Derecho de cancelación. Artículo 16 de LOPD y artículo 15 del R.D 1332/94.

Es el derecho que tiene los afectados a cancelar los datos de carácter personal recogidos en los ficheros. El responsable del tratamiento tendrá la obligación de hacer efectivo este derecho, y en caso de que dicha cancelación no sea posible se procederá a su bloqueo.

El interesado deberá solicitar la cancelación por escrito, determinando los datos que desea cancelar, total o parcialmente. Dispondrá de un plazo de diez días para hacer efectivo este derecho. (La LORTAD establecía un plazo de 5 días).

Derecho de rectificación. Artículo 16 de LOPD y artículo 15 del R.D 1332/94.

Los ficheros deben cumplir con el principio de calidad por ello es posible ejercitar este derecho con el fin sustituir los datos erróneos por los válidos. El plazo para ejercer este derecho es, igualmente, de diez días a contar a partir de la estimación de la solicitud.

Ficheros de titularidad privada.

Podrán crearse ficheros de titularidad privada que contengan datos de carácter personal cuando resulte necesario para el logro de la actividad u objeto legítimos de la persona, empresa o entidad titular y se respeten las garantías que esta Ley establece para la protección de las personas. Artículo 25 LOPD.

Toda persona o entidad que proceda a la creación de ficheros de datos de carácter personal lo notificará previamente a la APD, así como todos aquellos cambios que se produzcan en la finalidad del fichero automatizado, en su responsable y en la ubicación de su ubicación.

Existen dos formas de inscribir estos ficheros:

• Mediante un formulario. El interesado debe quedarse con una copia y entregar dos a la APD.
• A través de un programa informático que se puede descargar de la página de la APD, enviándolo a través de la Red o bien entregando el disquete en las oficinas de la Agencia.

La Disposición Adicional primera de la LOPD establece que los ficheros y tratamientos automatizados inscritos o no en el Registro de la Agencia de Protección de Datos deberán adecuarse a la L.O 15/99 dentro del plazo de tres años, a contar de su entrada en vigor.

En el caso de los ficheros y tratamiento no automatizados el plazo establecido para su adecuación a la L.O 15/99 es de 12 años, a contar desde el 24 de Octubre de 1995, que es la fecha en que entró en vigor la Directiva 95/46/CE.

Deberes de seguridad y secreto.

Como se ha mencionado anteriormente, el responsable del fichero, el encargado del tratamiento y cualquier persona que intervenga en cualquier fase del mismo estarán obligados al secreto profesional respecto de los mismos y al deber de guardarlos, así como de adoptar las medidas necesarias para garantizar la seguridad de los mismos. Artículos 9 y 10 de LOPD.

El Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados (y no automatizados) que contengan datos de carácter personal y que están sometidos al régimen de la LOPD.

Este R.D establece en su artículo 3 los diferentes niveles de seguridad, atendiendo a la naturaleza de la información tratada, en relación con la mayor o menor necesidad de garantizar la confidencialidad y la integridad de la información, clasificándolos en:

• Nivel básico.
• Nivel medio.
• Nivel alto.

Aplicación de los niveles de seguridad. Artículo 4.

Todos los ficheros que contengan datos de carácter personal deberán adoptar las medidas de seguridad calificadas como de nivel básico.

Los ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros y aquellos que permitan obtener la personalidad del individuo deberán reunir, además de las medidas de nivel básico, las calificadas como de nivel medio.

Los ficheros que contengan datos especialmente protegidos y datos recabados para fines policiales deberán reunir, además de las medidas de nivel básico y medio, las de nivel alto.

Se consideran datos especialmente protegidos los relativos a la ideología, afiliación, religión y creencias, los que hagan referencia al origen racial, a la salud y a la vida sexual, así como los relativos a la comisión de infracciones penales o administrativas. Artículo 7 LOPD.

El responsable del fichero deberá elaborar e implantar la normativa de seguridad mediante un documento de obligado cumplimiento para el personal. Artículo 11.

Se entiende por cesión de datos toda revelación de datos realizada a una persona distinta del interesado. Artículo 3.i LOPD.

Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.

No será preciso el consentimiento:

1.Cuando la cesión está autorizada en una ley.

2.Cuando se trata de datos recogidos de fuentes accesibles al público.

3.Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique.

4.Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas.

5.Cuando la cesión se produzca entre Administraciones públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos.

6.Cuando la cesión de datos ce carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica.

7.Cuando los datos han sufrido un procedimiento de disociación no es necesario el consentimiento porque no son datos de carácter personal.

Será nulo el consentimiento para la comunicación de los datos de carácter personal a un tercero, cuando la información que se facilite al interesado no le permita conocer la finalidad a la que destinarán los datos cuya comunicación se autoriza o el tipo de actividad de aquel a quien se pretende comunicar.

El consentimiento para la comunicación de los datos tiene carácter revocable.

Acceso a los datos por cuenta de terceros. Artículo 12.

No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento. Físicamente es una cesión de datos, sin embargo la Agencia de Protección de Datos no lo considera como tal, sino como una prestación de servicios.

Este tratamiento deberá estar regulado en un contrato escrito El encargado de tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento y no los utilizará para fines distintos a los que figuren en el contrato.

Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento.

El encargado de tratamiento tendrá la misma responsabilidad que el responsable del fichero si los comunica o utiliza incumpliendo las estipulaciones del contrato.

Transferencia internacional de datos. Artículo 1.6 R.D 1332/94 y artículo 33 LOPD.

Se define transferencia internacional de datos como el transporte de datos entre sistemas informáticos por cualquier medio de transporte, así como de datos por correo o por cualquier otro medio convencional.

No podrán realizarse transferencias temporales ni definitivas de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento con destino a países que no proporcionen el nivel de protección que presta la LOPD.

La Orden de 2 de Febrero de 1995, del Ministerio de Justicia e Interior, establece la relación de países con protección de datos de carácter personal equiparable a la española, a efectos de transferencia internacional de datos.

La adecuación del nivel de protección que ofrece el país de destino lo evaluará la APD atendiendo a la naturaleza de los datos, la finalidad y la duración del tratamiento o de los tratamientos previstos, el país de origen y el país de destino, las normas de derecho vigentes en el país tercero de que se trate, el contenido de los informes de la Comisión de la Unión Europea, así como las normas profesionales y las medidas de seguridad en vigor en dichos países.

La transferencia de datos a países que no tengan el nivel de seguridad exigible está prohibida, salvo que lo autorice el Director de la APD.

Sin embargo, la transferencia internacional de datos no se ciñe a lo anteriormente expuesto en los siguientes casos:

• Cuando la transferencia internacional de datos de carácter personal resulte de la aplicación de tratados o convenios en los que sea parte España.
• Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial internacional
• Cuando la transferencia sea necesaria para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamiento médicos o la gestión de servicios sanitarios
• Cuando se refiera a transferencias dinerarias conforma a su legislación específica.
• Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista.
• Cuando la transferencia sea necesaria para la ejecución de un contrato entre el afectado y el responsable del fichero o para la adopción de medidas precontractuales adoptadas a petición del afectado.
• Cuando la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar, en interés del afectado, por el responsable del fichero y un tercero.
• Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público.
• Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
• Cuando la solicitud de transferencia se efectúe, a petición de persona con interés legítimo, desde un Registro público y aquélla sea acorde con la finalidad del mismo.
• Cuando la transferencia tenga como destino un Restado miembro de la Unión Europea, o un Estado respecto del cual la Comisión de las Comunidades Europeas, en el ejercicio de sus competencias, haya declarado que garantiza un nivel de protección adecuado.