Preguntas frecuentes sobre Proteccion de Datos

Actualmente me encuentro trabajando en un tema relacionado con la protección de datos de carácter personal. En mi opinión, en esta materia se hace imprescindible, aparte de conocer la normativa aplicable (LOPD y su Reglamento de desarrollo), la interpretación que la AEPD hace de la misma. Al fin y al cabo es ella la que ostenta la potestad de imponer sanciones en este ámbito.

Para ello, a continuación os doy cuenta de las principales FAQ que se respondieron en el marco de la “1ª sesión anual abierta de la AEPD“, que se organizó el pasado 22 de abril de 2008. Os informo que este post es algo extenso. Empezamos…

1) AMBITO DE APLICACIÓN Y PRINCIPIOS

* ¿Cómo afecta el Reglamento a los ficheros inscritos antes de su entrada en vigor? ¿Y a los que fueran creados e inscritos con posterioridad?

En cuanto a los ficheros preexistentes, respecto de los que conste su existencia por haber sido notificados al Registro General de Protección de Datos, se aplicarán en general las disposiciones del Reglamento desde la fecha de su entrada en vigor, salvo las excepciones derivadas de las disposiciones transitorias del Real decreto 1720/2007 en materia de seguridad.

A los ficheros cuya existencia no conste en el momento de la entrada en vigor del Reglamento por no haber sido notificados, se les aplicarán la totalidad de sus disposiciones desde el momento de su entrada en vigor, sin que exista ningún régimen transitorio.

* ¿Cómo operan las excepciones de los artículos 2.2 y 2.3 del Reglamento? ¿Se aplica alguna disposición de la LOPD o del Reglamento a los ficheros comprendidos en la excepción?

Para que operen las excepciones deben concurrir dos requisitos:

• En cuanto a los datos, deberán limitarse en el caso de personas de contacto a los enumerados en el art. 2.2 y en el de comerciantes (artículo 2.3) a datos vinculados exclusivamente con la actividad empresarial (la excepción no opera si los datos se refieren tanto a la esfera personal como a la empresarial).
• En cuanto a la finalidad, el tratamiento debe tener como destinatario a la empresa, nunca a la persona física.

Sí cabe la aplicación de estas excepciones, la LOPD y el RDLOPD no será aplicables: no habrán de cumplirse, por ejemplo, los deberes de seguridad o inscripción del fichero

El Directorio de empleados de un grupo de empresas, si únicamente contiene los datos del artículo 2.2 y se constituye como fichero separado del fichero de personal estaría excluido de la aplicación de la LOPD y del RDLOPD.

* Si me dirijo a un cargo específico de una empresa para comunicarle productos o servicios dirigidos a la empresa para la que trabaja ¿necesito su consentimiento para dirigirme a él personalmente?

Desde el punto de vista de la LOPD, podría tratarse de un supuesto de aplicación del artículo 2.2, dado que se habla de productos o servicios dirigidos a la empresa, no operando las reglas generales de legitimación para el tratamiento. No obstante, si la comunicación se efectúa por medios electrónicos (e-mail, SMS, MMS, fax) o llamadas sin intervención humana, será de aplicación la LSSI y habrá de estarse al caso concreto. En consecuencia, sea o no aplicable la LOPD, si se utilizan estos medios hará falta el consentimiento expreso del destinatario.

* ¿Cuándo se entiende que la documentación en papel forma parte de un fichero no automatizado?

El Reglamento exige para que exista un fichero no automatizado que el conjunto de datos se encuentre estructurado con arreglo a criterios referidos a personas físicas. Si existen esos criterios el fichero estará sometido a la legislación de protección de datos. En otros casos, puede que el fichero no esté directamente estructurado con arreglo a estos criterios, pero los criterios de organización permitan detectar sin esfuerzos excesivos la información referida a una persona física (por ejemplo, porque exista una lista auxiliar que vincule fechas o números de carpetas a personas concretas o porque el fichero sea de tamaño reducido y sea fácil la localización). En este caso sí se aplican la LOPD y el RDLOPD.

* ¿Cuáles son los requisitos para que los ficheros enumerados en el artículo 7.1 sean fuentes accesibles al público?

Para que los ficheros sean fuente accesible al público es preciso que su acceso sea libre, con o sin pago de un precio a cambio.

* ¿Qué ha de entenderse por “medios de comunicación social” a estos efectos? ¿Es Internet una fuente accesible al público?

Podrán considerarse incluidos en fuentes accesibles al público los datos que hayan sido objeto de difusión a través de prensa, radio y televisión (convencional o digital). Internet no es, a los efectos de protección de datos un “medio de comunicación social”, sino un “canal de comunicación”, por lo que no es fuente accesible al público.

* ¿Es conforme al Reglamento el supuesto en que se prevé para el ejercicio de un derecho o la revocación del consentimiento la remisión de una carta ordinaria? ¿Se considera que en este caso hay una “tarificación adicional”?

El medio para que el interesado pueda ejercitar sus derechos o revocar su consentimiento deberá ser, conforme al Reglamento, “gratuito”. No obstante, sería posible que dicha revocación se pudiera efectuar por medio de correo ordinario, sin que ello implique una desaparición de la “gratuidad”. En el ámbito del correo, se prohíbe la exigencia de correo certificado, sin perjuicio de que el afectado pueda decidir libremente emplear este medio.

La referencia a “tarificación adicional” es aplicable en el ámbito de las comunicaciones electrónicas (por ejemplo, números “806″).

En caso de revocación del consentimiento, no podrá exigirse al afectado ningún requisito adicional a los que se exigieron para obtener su consentimiento.

* ¿Cómo acreditar el cumplimiento del deber de información cuando los datos se recogen a través de un formulario web? ¿y si se utiliza un cartel informativo?

Será preciso poder acreditar que en el momento en que se recabaron los datos se disponía de dichos medios de información (por ejemplo, mediante la constancia de la fecha en el acceso a la página web). En el caso del formulario web, debería existir una política de privacidad en que se contengan todas las exigencias del artículo 5 LOPD, siendo recomendable que sea necesario aceptar haber leído dicha política antes de remitir los datos. El cartel informativo debería contener todos las exigencias del artículo 5 LOPD o, por ejemplo, complementarse con la existencia de hojas informativas a disposición de los usuarios (Instrucción 1/2006 de la AEPD - videovigilancia -)

 

2) RESPONSABLE Y ENCARGADO

* ¿Cuál es el significado de la expresión “se considerará que existe comunicación de datos cuando el acceso tenga por objeto el establecimiento de un nuevo vínculo entre quien accede a los datos y el afectado”?

El encargado del tratamiento debe ser un mero prestador de servicios “en nombre y por cuenta” del responsable. De este modo, si como consecuencia de un contrato los afectados, clientes del responsable, pasan a serlo también del supuesto “encargado”, realmente se habrá procedido una cesión de datos y el receptor estará actuando en nombre propio con los afectados y no como un mero prestador de servicios. Es decir, se habrá creado una relación jurídica entre el receptor, actuando en nombre propio, y los afectados.

 

3) DERECHOS

* ¿Cuál es el plazo que el responsable del fichero debe conceder al interesado para subsanar los defectos de una solicitud de ejercicio de los derechos?

El plazo deberá ser razonable. A tal efecto, puede considerarse adecuado el de diez días. Si no se subsanase en plazo, se entenderá que el afectado ha desistido de su solicitud de ejercicio, debiendo en su caso volver a solicitarlo. Si se tratase del derecho de acceso, no cabrá considerar que se ha reiterado el ejercicio en doce meses. Una vez subsanado el defecto, el responsable del fichero deberá dar respuesta a la solicitud en los plazos establecidos en el RDLOPD (un mes para acceso, diez días en los restantes casos), dado que no disponía de toda la información necesaria para atender a la solicitud hasta entonces.

* ¿Cabe ejercitar los derechos a través del correo electrónico?

Resultará posible siempre que existan las adecuadas garantías para identificar al afectado, pudiendo solicitarse alguna información complementaria de la que disponga el responsable del fichero. En caso de que el afectado haya facilitado en el momento de la recogida de los datos una determinada dirección de correo electrónico (por ejemplo, en caso de recogida a través de un formulario web, facilitándose la dirección para que el responsable confirme la prestación de un servicio al afectado), los derechos deberían ejercitarse desde esta dirección de correo y no desde otra distinta.

* ¿Cabe el ejercicio de los derechos a través de una llamada gratuita sin identificar al interesado por su DNI? ¿Cómo se acredita en este caso que se ha atendido el ejercicio de los derechos?

Si el responsable dispone de servicios de reclamación y atención al público, deberá permitir el ejercicio de los derechos a través de los mismos, en términos similares a los empleados con carácter general para su uso. Si no se dispone de esos medios, será preciso que el responsable adopte procesos que permitan verificar la identidad del afectado, mediante la solicitud de su DNI o de algún dato de contraste adicional.

 * ¿Cuándo procede la cancelación y cuando el bloqueo de los datos?

El interesado puede ejercitar su derecho de cancelación cuando los datos son inadecuados o excesivos. Esta cancelación como regla general deberá implicar el bloqueo del dato y no su supresión. En consecuencia, la cancelación y el bloqueo no son términos incompatibles, sino que el bloqueo es el efecto derivado de la cancelación. El plazo del bloqueo quedará sujeto a las responsabilidades que pudieran derivarse del tratamiento o de la relación subyacente que lo justifica, por lo que habrá de atenderse a las circunstancias de cada caso concreto y a los correspondientes plazos de prescripción de las acciones previstos en el Código Civil y la normativa específica que sea de aplicación.

  

4) FICHEROS DE PUBLICIDAD Y PROSPECCIÓN COMERCIAL

* ¿Por cuánto tiempo deben mantenerse los datos de las personas que hayan manifestado su negativa u oposición a recibir publicidad?

Indefinidamente o hasta que el interesado preste su consentimiento para recibirla.

* Cuando el art. 46 RDLOPD se refiere a que el beneficiario de la publicidad que contrata o encomienda la realización de una determinada campaña publicitaria será responsable del tratamiento de los datos de los destinatarios cuando fije los parámetros identificativos de estos últimos ¿es responsable de inscribir los ficheros utilizados para la campaña en el RGPD o tiene alguna otra obligación en materia de inscripción en el RGPD como consecuencia de la campaña?

El beneficiario no tiene obligación de inscribir los ficheros de una tercera entidad utilizados para una campaña publicitaria. Será la entidad titular del fichero la que deberá inscribirlos. El uso puntual de los datos personales en este tipo de campañas es sólo un tratamiento de datos personales, que no es obligatorio inscribir en el RGPD. En el Registro únicamente se inscriben ficheros y no tratamientos.

* Para las empresas que reciben un número muy elevado de peticiones de “no publicidad” el envío de una carta-respuesta individualizada con la información sobre ficheros comunes de exclusión puede suponer problemas de coste y logística muy importantes. ¿Podría informarse al afectado con carácter previo en la propia comunicación publicitaria de los datos relativos a este tipo de ficheros y evitar el envío de cartas-respuesta?

En el caso de datos obtenidos de fuentes accesibles al público, la información que debe darse al afectado conforme al artículo 5.5 LOPD se facilita en la propia comunicación publicitaria. En relación con los ficheros comunes de exclusión del envío de publicidad ¿Quién puede crearlos? ¿Cómo se puede conocer su existencia?. La iniciativa para la creación de estos ficheros es voluntaria. Se podrá obtener información de los ficheros que existan consultando el Registro General de Protección de Datos de la AEPD.

* ¿Cuándo deben consultarse los ficheros de exclusión del envío de comunicaciones comerciales?

Cuando se pretenda efectuar un tratamiento de datos relacionado con actividades de publicidad o prospección comercial.

  

5) LA CREACIÓN E INSCRIPCIÓN DE FICHEROS TRANSFERENCIAS INTERNACIONALES DE DATOS

* ¿Qué ficheros tienen que notificarse al RGPD?

Es obligatoria la notificación de cualquier fichero que contenga datos personales que se encuentre en el ámbito de aplicación de la LOPD. En el caso de ficheros de contabilidad y facturación cuando sólo incluyen datos referidos a las personas previstas en los arts. 2.2 y 2.3 no tienen que inscribirse siempre que se ajusten a los términos previstos en los citados artículos: colectivos, tipos de datos y finalidades concretos. Si incluyen datos de otros colectivos, el DNI u otro tipo de datos no se excluyen de la aplicación de la LOPD y por lo tanto, si tienen que ser notificados.

* ¿Tienen que notificarse al RGPD los ficheros temporales?

Un fichero temporal creado para realizar un tratamiento ocasional a partir de un fichero existente NO tiene que inscribirse. SÍ tiene que estar inscrito el fichero de origen. Ej. si se crea un fichero temporal para organizar las vacaciones del personal a partir del fichero de recursos humanos, tendrá que estar inscrito el fichero de recursos humanos. Respecto del fichero de vacaciones tendrán que adoptarse las medidas de seguridad correspondientes. Un fichero creado para realizar tratamientos de datos periódicos, SI que tendrá que inscribirse. Ej. censo agrario, preinscripción anual en un polideportivo, etc.

* ¿Cuándo se puede crear un fichero con varios responsables?

Sólo cuando existe habilitación o legitimación. Debe estar articulado el protocolo de gestión del fichero (información, derechos ARCO, responsabilidades, etc.), el control de acceso y medidas de seguridad. Cada responsable tiene que notificar el fichero al RGPD. Del fichero de control de visitas a un edificio que comparten varias empresas puede ser responsable la empresa de seguridad del edificio (Instrucción 1/1996, norma 2, párrafo primero). El fichero de asuntos de un despacho colectivo de abogados no es un fichero con varios responsables. Cada profesional es responsable de sus expedientes. Control de accesos impedirá el uso de datos que no son de su competencia.

  

6) TRANSFERENCIAS INTERNACIONALES

* ¿Una prestación de servicios desde Argentina a una empresa española, mediante el acceso a los ficheros de la compañía española ubicados en España requiere autorización del Director de la AEPD?

Es una transferencia internacional de datos. La Comisión Europea ha reconocido el nivel adecuado de protección de Argentina. Es preciso el cumplimiento previo de la LOPD. Sólo es necesaria la notificación al RGPD.

* ¿Es obligatoria la autorización previa a una transferencia internacional de datos si ésta se realiza en ejecución de un contrato de prestación de servicios entre una empresa española, responsable del fichero, y la encargada del tratamiento, sucursal o filial de una empresa española?¿Cuánto tarda la Agencia en dar la autorización desde que se presenta correctamente la petición? ¿Habrá cambios en la documentación a presentar?

Si el destino de los datos es un país fuera del EEE requerirá autorización del Director. Una vez solicitada la autorización acompañada de toda la documentación necesaria: poderes de representación, contrato basado en la Decisión 2002/16/CE, descripción detallada, el plazo de tramitación es de 3 meses. En las recomendaciones de la AEPD publicadas en el informe de transferencias internacionales (julio-2006) www.agpd.es se indica la documentación a presentar.

 

7) LAS MEDIDAS DE SEGURIDAD

 * ¿Cuándo se aplica el nivel básico de seguridad a datos de salud?

Sólo en los casos previstos por el RDLOPD. - Cumplimiento de deberes públicos:

• porcentaje de discapacidad
• discapacidad si/no
• apto/no apto
• invalidez
• incapacidad laboral (si/no, fecha)
• enfermedad común, accidente laboral, enfermedad profesional.

Si se describe la enfermedad o situación de salud concreta que la causa, o se incluye un código numérico que permita establecerla: NIVEL ALTO

* ¿Cuándo se aplica el nivel básico a datos de ideología, afiliación sindical o creencias?

Únicamente en el caso previsto por el RDLOPD: realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros

• detracción de cuota sindical
• domiciliaciones bancarias

Nivel Alto: asociación religiosa, partido o sindicato respecto de sus afiliados, socios o miembros

Tratamiento de datos en confección de la Declaración del IRPF (Iglesia Católica, donaciones a determinadas fundaciones):nivel básico, ya que no suponen necesariamente la adscripción política o religiosa del contribuyente

* ¿Qué se entiende por ficheros o tratamientos no automatizados en los que de forma accidental o accesoria se contengan datos especialmente protegidos?

La finalidad del fichero no debe ser tratar este tipo de datos personales. El responsable no debe haber solicitado al titular este tipo de datos. Generalmente será el titular de los datos personales u otro sujeto quién sin haber requerido el dato lo aporte.

* ¿Debe registrarse la salida de soportes con destino a otra sede de la entidad? ¿Y a la del encargado?

Deben anotarse tanto en uno como en el otro caso ya que se trata de garantizar la trazabilidad de datos que salen materialmente del sistema de información.

* ¿Qué significa guardar las copias de respaldo en lugar físico diferente?

Es preferible que se trate de un espacio físico diferenciado en el que no se den los mismos riesgos físicos que en de ubicación del SI (por ej. incendio o inundación). Sería admisible un espacio distinto en la misma sede cuando:

• Se justifique en el documento de seguridad.
• Se adopten medidas complementarias para minimizar el riesgo (ubicación de la copia, armarios ignífugos o sistemas anti-incendio etc.)

No aplicable en ficheros no automatizados. No debe confundirse la copia de respaldo con la “copia de trabajo” a la que se hace referencia al regular la seguridad de los ficheros no automatizados.

* ¿La auditoria es LOPD? ¿quién debe realizarla? ¿debe notificarse?

No se establece una auditoria LOPD. Sin perjuicio de que cuando alguna de las materias reguladas por la misma se proyecten sobre la seguridad deban ser tenidas en cuenta:

• Encargado
• Comunicaciones de datos que impliquen salidas de soportes

No se define o reconoce el perfil funcional o profesional de los auditores. No debe remitirse a la Agencia.

* ¿Por qué norma se regirán los procedimientos y actuaciones previas iniciadas antes de la entrada en vigor del nuevo reglamento? En caso de procedimientos incoados ahora ¿se va a aplicar el nuevo Reglamento?

La aplicación del nuevo reglamento queda regulada en sus disposiciones transitorias. El reglamento se aplicará en plenitud a las denuncias que se presenten a partir de su entrada en vigor el 19 de abril y que se refieran a hechos producidos a partir de esa fecha. Con carácter general el Reglamento ha recogido criterios sostenidos en procedimientos anteriores por lo que no debe producirse un cambio sustancial.

* ¿Qué consecuencias derivan de las declaraciones de infracción a las Administraciones Públicas?

Las consecuencias de la declaración de infracción son entre otras:

• Publicación de la infracción.
• Comunicación al Defensor del Pueblo.
• Posible derivación de un expediente disciplinario al funcionario responsable.

* En caso de falta de compromiso por parte de los empleados de un responsable en el cumplimiento de medidas de seguridad. ¿Cómo se dilucida la responsabilidad de la empresa y del empleado?

La responsabilidad final no recae sobre la persona física sino sobre el responsable. Son múltiples los casos en los que se produce una vulneración por una actuación personal por lo que debe hacerse un importante esfuerzo formativo y de concienciación. Ejemplos:

• secreto (ficheros P2P, documentación en vía pública).
• acceso a datos de salud por personas no habilitadas.
• contratación fraudulenta. Agentes comerciales. (SAN 25-4-2007).
• información a ex-cónyuge.

* ¿Cómo puede diferenciarse, con respecto a las sanciones, cuando se es una persona física o persona jurídica en cuanto a la cuantía de dicha sanción o si se diferencia por la gravedad de ésta?

Entre los elementos que se consideran para aplicar los elementos de ponderación del art. 45.4 y 5 de la LOPD se encuentra el hecho de que se trate de un sujeto que gestione gran cantidad de datos, aislada y puntual.

* ¿Ha pensado la agencia publicar en la web junto a la sanción impuesta a una empresa el nombre del proveedor que realiza la adaptación?

El artículo 82 de la ley 62/2003 de 30 de diciembre prevé la publicación anonimizada de las resoluciones una vez notificadas. No se realiza previsión alguna respecto a los proveedores que realizan la adaptación. Posibilidad de ejercer actuaciones de reclamación en el ámbito privado.