Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

Actualidad

Anuncio 
O
PINIÓN
Actualidad
Protección de datos en la prestación
de servicios sociales
María ARIAS POU
Abogado Especialista en Protección de Datos, ARIAS POU Abogados TIC
Cuando nos enfrentamos a la aplicación de la normativa sobre protección de datos de carácter
personal en un ámbito tan sensible como la prestación de servicios sociales, son muchas las
dudas que nos asaltan y los miedos que nos inundan, trataremos de arrojar un poco de luz
sobre este tema siguiendo las Recomendaciones dictadas en la materia por la Agencia de
Protección de Datos de la Comunidad de Madrid.
SUMARIO
I. INTRODUCCIÓN
Cuando está a punto de cumplirse un año
de la aprobación de la última Recomendación de la Agencia de Protección de Datos
de la Comunidad de Madrid, APDCM, en
materia de servicios sociales, la Recomendación 1/2008, de 14 de abril, de la Agencia
de Protección de Datos de la Comunidad de
Madrid, sobre el Tratamiento de datos personales en los Servicios Sociales de la Administración de la Comunidad de Madrid y en los
Servicios Sociales de los Entes Locales de la Comunidad de Madrid, queremos aprovechar
estas líneas para repasar a grandes rasgos la aplicación de la normativa sobre protección de
datos de carácter personal al ámbito de la prestación de los servicios sociales.
I. Introducción
II. Conceptos básicos
III. Principales cuestiones a tener en
cuenta
IV. Conclusión
Sin perjuicio de que el ámbito de aplicación de esta Recomendación se limite a las entidades
públicas que forman parte de la Administración de la Comunidad de Madrid, sí nos parece muy
686
Publicada en el BOCM núm. 108 de 7 mayo 2008.
Rev. 5/2009
ElConsultor-5.indb 686
© El Consultor de los Ayuntamientos
02/03/2009 11:46:43
Actualidad
O
PINIÓN
interesante ayudarnos de la experiencia práctica que ésta recoge, para repasar las principales obligaciones que derivan de la normativa sobre protección de datos para las entidades responsables de
la prestación de los servicios sociales. En muchos casos, estas entidades responsables nos llevan
al ámbito local, así, el art. 25.2.k) de la Ley Reguladora de las Bases del Régimen Local atribuye
al Municipio competencias en materia de «prestación de los servicios sociales y de promoción y
reinserción social». De esta forma, los Ayuntamientos y otras Entidades Locales como las Mancomunidades, desarrollan la prestación de estos servicios a través de Comisiones de apoyo familiar,
programas de integración social de adolescentes, programas de mediación familiar, atención de las
personas sin hogar, la gestión de la renta mínima de inserción, la información al inmigrante, las problemáticas de maltrato infantil, los puntos de encuentro, ayudas a domicilio y teleasistencia, ayuda
a mujeres maltratadas, etc.
Al abordar este tema de la protección de datos en el ámbito de los servicios sociales, entendemos necesario detener un momento la atención en analizar algunos conceptos, básicos en la materia, para poder así comprender mejor algunas de las principales dificultades que la aplicación de
esta normativa encuentra en este ámbito. A continuación, repasaremos las principales obligaciones
en la materia tratando de destacar aquellos aspectos que resultan especialmente complejos o relevantes. En este sentido y estando próximo el cumplimiento del plazo transitorio que el Reglamento
de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter
Personal, estableció para la adecuación a sus exigencias en materia de medidas de seguridad,
haremos especial hincapié en el cumplimiento de la obligación de garantizar la seguridad de los
datos tratados.
II. CONCEPTOS BÁSICOS
En primer lugar, y para analizar algunos de los principales conceptos en materia de protección
de datos, comenzaremos por el principio y haremos referencia al objeto de la protección de datos,
esto es, al concepto de dato de carácter personal.
Dato de carácter personal
La LOPD lo define en su art. 3 a) como «cualquier información concerniente a personas físicas
identificadas o identificables». Por su parte, el Reglamento de desarrollo de la LOPD lo define, en
su art. 5.1.f) como: «Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de
cualquier otro tipo concerniente a personas físicas identificadas o identificables».
a citada Recomendación fue resultado de un Plan Sectorial de Oficio es resultado de un Plan Sectorial de Oficio
L
llevado a cabo por la Agencia de Protección de Datos de la Comunidad de Madrid el «Plan de Inspección de Servicios Sociales 2007», aprobado el 1 de marzo de 2007 con el objetivo de inspeccionar a responsables de ficheros
de los Servicios Sociales de la Comunidad de Madrid, incluyendo tanto a organismos públicos de la Comunidad
de Madrid cuya función es la prestación de servicios sociales como a organismos de los Entes Locales de la Comunidad de Madrid que también ejercen tal función.
Ley 7/1985, de 2 de abril, Reguladora de las Bases del Régimen Local (BOE núm. 80 de 3 de abril).
En el caso de que se trate de una competencia de la Comunidad Autónoma pero ejercida por los Ayuntamientos
a través de una encomienda de gestión, es el Ayuntamiento el que debe asumir la responsabilidad del fichero y la
aprobación de correspondiente la disposición de carácter general.
Plazo establecido por la Disposición transitoria segunda del Reglamento.
Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (BOE núm. 17, de 19 de enero
de 2008). En adelante también RDLOPD.
Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (BOE núm. 234 de 14
de diciembre) (LA LEY 4633/1999).
© El Consultor de los Ayuntamientos
ElConsultor-5.indb 687
Rev. 5/2009
687
02/03/2009 11:46:43
O
PINIÓN
Actualidad
Los datos de carácter personal son el objeto de protección de la materia que analizamos y lo que
debe quedar claro es que tendrá esta consideración toda información que, bien identifique directamente
al interesado, bien lo haga identificable, pongamos por caso el número de la historia social de una persona que recibe alguna prestación social. En este sentido, la normativa sobre protección de datos prevé
que los datos pueden estar disociados, esto es, sometidos a un tratamiento de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable. Este es un supuesto muy
frecuente en el ámbito de los servicios sociales, la información disociada puede ser tratada sin necesidad de observar las reglas establecidas en la normativa sobre protección de datos, porque los datos
no nos permiten identificar a sus titulares. Pensemos en la evaluación estadística de un determinado
servicio social, por ejemplo.
Datos especialmente protegidos
Dentro de los datos de carácter personal, la normativa sobre protección de datos diferencia un
conjunto de datos, a los que denomina «especialmente protegidos», que tienen bastante implicación en materia de servicios sociales. La LOPD les dedica el art. 7, del que podemos deducir que
son los datos de carácter personal que revelen la ideología, afiliación
sindical, religión y creencias y los datos que hagan referencia al origen
racial, a la salud y a la vida sexual. A este respecto, el RDLOPD introEl Reglamento de desarrollo de
duce como novedad una definición de los datos de carácter personal
la LOPD define dato de carácter
relacionados con la salud y se refiere a ellos como: «Las informaciones
concernientes a la salud pasada, presente y futura, física o mental, de
personal como: «Cualquier
individuo. En particular, se consideran datos relacionados con la
información numérica, alfabética, un
salud de las personas los referidos a su porcentaje de discapacidad y
gráfica, fotográfica, acústica o de a su información genética».
cualquier otro tipo concerniente
a personas físicas identificadas o
identificables»
Estos datos especialmente protegidos, como decimos, son tratados
con mucha frecuencia en la prestación de los servicios sociales. En
ocasiones, la prestación de estos servicios y la prestación de servicios sanitarios van unidas y se entremezclan, y en muchos casos, la
prestación de un servicio social exige conocer datos de salud, de vida
sexual o de origen racial, por ejemplo, para su desarrollo. Por estos motivos, resulta especialmente
relevante conocer su existencia y las reglas especiales para su correcto tratamiento a las que luego
haremos referencia.
Tratamiento de datos y ficheros
Visto el objeto de protección, señalar que los datos de carácter personal son protegidos cuando
son objeto de tratamiento, esto es, cuando se realizan sobre ellos «operaciones y procedimientos
técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación,
elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten
de comunicaciones, consultas, interconexiones y transferencias». Siempre que formen parte de
un fichero o «conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o
modalidad de su creación, almacenamiento, organización y acceso»10.
Los ficheros pueden ser automatizados o manuales y el RDLOPD define11 estos últimos como
«todo conjunto de datos de carácter personal organizado de forma no automatizada y estructurado
10
11
688
l artículo 5.1. e) del RDLOPD define dato disociado como «aquél que no permite la identificación de un afectado
E
o interesado».
Art. 3.c) de la LOPD.
Art. 3.b) de la LOPD.
Artículo 5.1. n) del RDLOPD.
Rev. 5/2009
ElConsultor-5.indb 688
© El Consultor de los Ayuntamientos
02/03/2009 11:46:43
Actualidad
O
PINIÓN
conforme a criterios específicos relativos a personas físicas, que permitan acceder sin esfuerzos
desproporcionados a sus datos personales, ya sea aquél centralizado, descentralizado o repartido
de forma funcional o geográfica». La inclusión de un desarrollo normativo referente a cómo tratar los
ficheros de datos no automatizados o manuales, ha sido uno de los grandes retos del RDLOPD y
en ámbitos, como el de los servicios sociales, era muy necesario dada la cantidad de soporte papel
que se maneja en el tratamiento de los datos de carácter personal. Muestra de ello es la Recomendación que la APDCM aprobó en el año 2005, referente a la historia social no informatizada12, que
perseguía, entre otros, el objetivo de proporcionar a los responsables de los ficheros de datos del
ámbito de los servicios sociales las pautas necesarias para poder tratar los datos en soporte papel
con las garantías de protección necesarias.
Sujetos implicados: titular de los datos, responsable del fichero y encargado del tratamiento
Visto el objeto, haremos una breve referencia a los sujetos implicados en esta problemática que
son, de un lado, los titulares de los datos, y de otro lado, los responsables de su tratamiento.
El art. 3 de la LOPD define al afectado o interesado, en la letra
e), como a la persona física titular de los datos que sean objeto
del tratamiento. Por su parte, como sujetos que proceden al tratamiento de los datos, distinguimos dos sujetos, de un lado, el
responsable del fichero13, que es la «persona física o jurídica, de
naturaleza pública o privada u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento». Y, de otro
lado, el encargado del tratamiento14 que es «la persona física o
jurídica, autoridad pública, servicio o cualquier otro organismo
que, solo o conjuntamente con otros, trate datos personales por
cuenta del responsable del tratamiento».
Son datos especialmente
protegidos «las informaciones
concernientes a la salud pasada,
presente y futura, física o mental,
de un individuo. En particular, se
consideran datos relacionados
con la salud de las personas
los referidos a su porcentaje de
discapacidad y a su información
genética»
La clave de estas definiciones está en que el responsable del
fichero lo es porque decide sobre la finalidad, contenido y uso
del tratamiento que se va a llevar a cabo y esto aunque, como
añade el RDLOPD al definirlo15 «no lo realizase materialmente». Cuántas veces en la prestación de servicios sociales se encomienda a un tercero la gestión
del servicio y el responsable de prestarlo ni siquiera tiene acceso a los datos de los usuarios.
Por su parte, la clave de la figura del encargado del tratamiento la encontramos en que presta
los servicios por cuenta del responsable del fichero recibe un encargo que implica un tratamiento de
datos, pero no decide ni la finalidad del tratamiento ni el contenido de los datos a tratar, ni el uso o
usos que se les vayan a dar a los datos.
Además, cabe señalar que el RDLOPD ha añadido a estas definiciones la aclaración de que
podrán ser también responsables del fichero o encargados del tratamiento los entes sin personali-
12
13
14
15
ecomendación 1/2005, de 5 de agosto, de la Agencia de Protección de Datos de la Comunidad de Madrid, sobre
R
Archivo, Uso y Custodia de la Documentación que compone la Historia Social no informatizada por parte de los
Centros Públicos de Servicios Sociales de la Comunidad de Madrid (aprobada por Resolución del Director de la
Agencia de Protección de Datos de la Comunidad de Madrid con fecha 5-8-2005) (BOCM núm. 190, de 11 agosto
2005).
Definición contenida en el artículo 3 d) de la LOPD.
Definición contenida en el artículo 3 g) de la LOPD.
Artículo 5.1. q) «Responsable del fichero o del tratamiento: Persona física o jurídica, de naturaleza pública o
privada, u órgano administrativo, que sólo o conjuntamente con otros decida sobre la finalidad, contenido y uso
del tratamiento, aunque no lo realizase materialmente.
Podrán ser también responsables del fichero o del tratamiento los entes sin personalidad jurídica que actúen en
el tráfico como sujetos diferenciados».
© El Consultor de los Ayuntamientos
ElConsultor-5.indb 689
Rev. 5/2009
689
02/03/2009 11:46:44
O
PINIÓN
Actualidad
dad jurídica que actúen en el tráfico como sujetos diferenciados. De este modo se viene a incluir en
estas categorías de sujetos estos entes sobre los que había duda sobre si podían o no ser sujetos
responsables o encargados del tratamiento.
Dicho esto, entremos a considerar los principales problemas que la aplicación práctica de la
protección de datos presenta en el ámbito que analizamos, la prestación de servicios sociales.
III. PRINCIPALES CUESTIONES A TENER EN CUENTA
Los sujetos implicados en esta
problemática son, de un lado,
los titulares de los datos, y de
otro lado, los responsables de su
tratamiento
Las principales cuestiones que queremos abordar aquí se centran
en repasar las principales obligaciones que derivan del tratamiento de
datos de carácter personal y en particular qué especialidades presentan
éstas en la prestación de los servicios sociales. Como idea central de
este desarrollo, señalar que las obligaciones que derivan de la protección de datos se pueden resumir en cinco grandes grupos:
En primer lugar, como obligación previa al tratamiento de los datos,
la inscripción de los ficheros, en segundo lugar, destacamos el tratamiento legal de los datos que implica observar todos los principios que
derivan de la normativa sobre la materia, como tercera obligación, la necesidad de garantizar la
seguridad de los datos, en cuarto lugar, esta normativa debe ser observada en las relaciones que el
responsable del fichero establezca con terceros en las que estén implicados tratamientos de datos
de carácter personal y, en quinto y último lugar, la atención y respuesta al ejercicio de los derechos
que se reconocen a los titulares de los datos.
3.1. Inscripción de ficheros
En todo tratamiento de datos de carácter personal, y el ámbito de los servicios sociales, no es
una excepción en este sentido, lo primero que debemos plantearnos para cumplir la normativa sobre
protección de datos es qué tratamientos de datos realizamos, de qué bases de datos podemos ser
responsables.
Cuando prestamos un servicio social necesitamos recoger un conjunto de información personal y
lo primero que debemos determinar es qué información personal necesitamos y de quién la vamos
a recoger. Dependiendo del servicio que prestemos, puede ser directamente del interesado, o de
un tercero, por ejemplo, en el caso de un menor de edad, podemos obtener la información de sus
padres o tutores o en el caso de un discapacitado, de su representante legal.
Una vez que hayamos definido las bases de datos de las que somos responsables y el contenido
de cada una de ellas, la primera obligación que debemos cumplir es la de proceder a inscribirlas en
el Registro de Protección de Datos correspondiente16. Para ello, y tratándose de ficheros de titularidad pública, esta inscripción debe ir precedida de la aprobación de una disposición de carácter
16
690
iendo los órganos de control, en materia de protección de datos, de un lado, la Agencia Española de Protección
S
de Datos, AEPD, competente en materia de ficheros de titularidad privada y en materia de ficheros de titularidad
pública siempre que en ese ámbito territorial, no haya sido creada una Agencia autonómica de protección de
datos. Por tanto, la inscripción de los ficheros de titularidad pública, como es el caso que nos ocupa, deberá
realizarse en el Registro General de Protección de Datos de la AEPD, o en el Registro de Protección de Datos de
la Agencia autonómica competente en el caso de que exista. En la actualidad contamos con la Agencia de Protección de Datos Catalana, la Agencia de Protección de Datos de la Comunidad de Madrid y la Agencia Vasca de
Protección de Datos. A esto hay que añadir que cada una de estas Agencias puede exigir determinados requisitos
específicos en el procedimiento de inscripción de los ficheros, requisitos que deberán ser observados en cada
caso.
Rev. 5/2009
ElConsultor-5.indb 690
© El Consultor de los Ayuntamientos
02/03/2009 11:46:44
Actualidad
O
PINIÓN
general que recoja todo el contenido de la misma, su finalidad y usos previstos, el nivel de medidas
de seguridad que va a resultar aplicable, etc. Una vez aprobada esta disposición se publicará en el
Boletín o en el Diario Oficial correspondiente y se notificará al Registro para su inscripción.
La inscripción de los ficheros es la primera obligación que surge en materia de protección de
datos, pero, como vamos a analizar, no es la única. También nos interesa señalar que la obligación
de inscribir los ficheros no termina con la inscripción de la creación del fichero, esta inscripción debe mantenerse actualizada y responder a la realidad, por tanto deberá ser modificada o suprimida,
según lo que corresponda en cada caso.
3.2. Tratamiento legal de los datos
Para definir los datos que necesitamos, y conforme al principio de calidad de los datos17 , estos
datos deberán ser adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades
determinadas, explícitas y legítimas para las que se hayan obtenido. Es importante tener presente que esos datos no pueden
usarse para finalidades incompatibles con aquellas para las que Una vez que hayamos definido las
los hayamos recogido.
bases de datos de las que somos
Otro aspecto que nos exige la calidad de los datos y que responsables y el contenido de
debemos tener presente es que los datos que se traten deben cada una de ellas, la primera
ser exactos y estar puestos al día de forma que respondan con
obligación que debemos cumplir
veracidad a la situación actual del afectado. En el día a día de los
servicios sociales hay muchos servicios que se prestan de forma es la de proceder a inscribirlas
indefinida, pero también hay muchos otros que son puntuales, en el Registro de Protección de
de un momento concreto, pensemos en una Ayuda de EmerDatos correspondiente
gencia Social, por ejemplo, que nos lleva a recoger y tratar una
información personal derivada de una situación concreta que,
en el momento en que se subsana, quizá ya no sea necesario el tratamiento de estos datos. Así,
transcurrida la necesidad deja de ser precisa la asistencia social y en estos casos es necesario que
se actualice la información personal que se maneja y, en su caso, que se proceda a la cancelación
de los datos personales. La cancelación que es definida por el RDLOPD en el art. 5.1. b) como:
«Procedimiento en virtud del cual el responsable cesa en el uso de los datos. La cancelación implicará el bloqueo de los datos, consistente en la identificación y reserva de los mismos con el fin
17
l artículo 4 de la LOPD dispone: «1. Los datos de carácter personal sólo se podrán recoger para su tratamiento,
E
así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el
ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.
2. Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con
aquellas para las que los datos hubieran sido recogidos. No se considerará incompatible el tratamiento posterior
de éstos con fines históricos, estadísticos o científicos.
3. Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la
situación actual del afectado.
4. Si los datos de carácter personal registrados resultaran ser inexactos, en todo o en parte, o incompletos, serán
cancelados y sustituidos de oficio por los correspondientes datos rectificados o completados, sin perjuicio de las
facultades que a los afectados reconoce el artículo 16.
5. Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la
finalidad para la cual hubieran sido recabados o registrados.
No serán conservados en forma que permita la identificación del interesado durante un período superior al necesario para los fines en base a los cuales hubieran sido recabados o registrados.
Reglamentariamente se determinará el procedimiento por el que, por excepción, atendidos los valores históricos,
estadísticos o científicos de acuerdo con la legislación específica, se decida el mantenimiento íntegro de determinados datos.
6. Los datos de carácter personal serán almacenados de forma que permitan el ejercicio del derecho de acceso,
salvo que sean legalmente cancelados.
7. Se prohíbe la recogida de datos por medios fraudulentos, desleales o ilícitos.»
© El Consultor de los Ayuntamientos
ElConsultor-5.indb 691
Rev. 5/2009
691
02/03/2009 11:46:44
O
PINIÓN
Actualidad
de impedir su tratamiento excepto para su puesta a disposición de las Administraciones públicas,
Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento y
solo durante el plazo de prescripción de dichas responsabilidades. Transcurrido ese plazo deberá
procederse a la supresión de los datos».
Respecto del momento de proceder a la cancelación de los datos, un caso particular en materia
de servicios sociales lo encontramos en relación con la historia social. La historia social, describe
la Recomendación 1/2008, como establece el art. 3 del Código Deontológico de los Trabajadores
Sociales18, es un instrumento documental en el que se registran exhaustivamente los datos personales, familiares, sanitarios, de vivienda, económicos, laborales, educativos, y cualesquiera otros
significativos de la situación socio-familiar de un usuario, la demanda, el diagnóstico y la subsiguiente intervención y la evolución de su situación personal. Las historias sociales permiten describir,
analizar, sintetizar y cuantificar las situaciones de los beneficiarios de los servicios sociales tanto a
nivel personal como en relación con su entorno. Las historias sociales son imprescindibles ya que
aportan al profesional datos básicos para fijar objetivos, un plan de trabajo, un compromiso con el
usuario, con calendarios, períodos y procedimientos de intervención.
En concreto, respecto de la cancelación, la citada Recomendación dispone:
«Las historias sociales en formato papel, en cuya documentación puede encontrarse la ficha social, el
proyecto de intervención social y el informe social, a los efectos de la cancelación de datos personales,
deberán diferenciarse dos momentos de la historia social:
1. Cuando la historia social está “activa” por tener utilidad para la prestación social del usuario. En este
supuesto, deberá conservarse, durante el tiempo en que se esté prestando la asistencia social y, con posterioridad, un mínimo de tiempo desde que dicha asistencia social finalice y se considere que puede ser útil
para posibles nuevas actuaciones. En relación con este plazo, es susceptible de aplicación analógica el plazo que la Ley 41/2002, de 14 de noviembre, Básica Reguladora de la Autonomía del Paciente y de Derechos
y Obligaciones en materia de Información y Documentación Clínica, establece para la historia clínica, esto
es, cinco años, como mínimo, contados desde que haya finalizado la prestación social correspondiente.
2. Cuando, transcurrido el plazo anterior, la historia social pierde su utilidad convirtiéndose en “pasiva”,
debiendo conservarse únicamente a efectos judiciales. En este caso, se deberá trasladar la documentación
de la historia social al archivo central correspondiente».
La cuestión de qué hacer con los datos, una vez finalizada la prestación de un servicio es una
cuestión que preocupa mucho a los responsables de la prestación de estos servicios y la respuesta
general que podemos dar a esta cuestión es la de conservar los datos bloqueados, esto es, como
veíamos que describe el RDLOPD, reservados e identificados, a disposición de las autoridades
públicas competentes, durante el tiempo en que puedan exigirse responsabilidades, para después
de transcurrido este tiempo, pueda procederse a la supresión de los mismos.
Además de las exigencias derivadas de la calidad de los datos, en recogida de la información
personal, debemos cumplir el principio de información y proceder a facilitar al titular de los datos
toda la información exigida por el art. 519 de la LOPD para que así conozca, entre otros aspectos,
18
19
692
l Código Deontológico de la profesión de Diplomado en Trabajo Social fue aprobado por la Asamblea General
E
de Colegios Oficiales de Diplomados en Trabajo Social y Asistentes Sociales el 29 de mayo de 1999.
Artículo 5.1. de la LOPD: «Los interesados a los que se soliciten datos personales deberán ser previamente
informados de modo expreso, preciso e inequívoco:
a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de
estos y de los destinatarios de la información.
b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.
Rev. 5/2009
ElConsultor-5.indb 692
© El Consultor de los Ayuntamientos
02/03/2009 11:46:44
Actualidad
O
PINIÓN
quién está procediendo a recoger y posteriormente va a tratar sus datos, con qué finalidad lo va a
realizar, a quién los va a ceder, en su caso, y para qué fin.
La necesidad de cumplir este deber de información, unido a la práctica habitual de la recogida de
datos a través de diversos formularios que se manejan en el ámbito de los servicios sociales, como
los de solicitud de ayudas, de prestación de servicios, de becas de estudios, de comedor o material
escolar, etc., nos lleva a recomendar la necesidad de estandarizar el cumplimiento de este deber a
través de la incorporación de las debidas cláusulas informativas en los formularios que habitualmente se manejan para estos fines. También es cierto que muchas veces el cauce de recogida de datos
es el teléfono, los mensajes SMS o Internet, y en estos casos es importante cumplir también este
deber de información en la forma que mejor se adecue al medio de recogida de datos utilizado.
Un tercer principio a observar, para el tratamiento legal de
los datos, exige solicitar el consentimiento previo e inequívoco Un principio a observar, para el
del titular de los datos, o en su caso, de sus padres, tutores o tratamiento legal de los datos,
representantes legales, para proceder a realizar los tratamientos exige solicitar el consentimiento
de datos que corresponda. Como indicábamos antes, si la recogida de datos se realiza a través de formulario, éste puede ser previo e inequívoco del titular de
un buen instrumento para plasmar el consentimiento y, de esta los datos, o en su caso, de sus
forma, guardar prueba de haber cumplido los dos deberes, el de padres, tutores o representantes
información previa y el de solicitud de consentimiento. Prueba
que el RDLOPD exige al responsable del fichero cuando dispone legales, para proceder a realizar
que: «Corresponderá al responsable del tratamiento la prueba los tratamientos de datos que
de la existencia del consentimiento del afectado por cualquier
corresponda
medio de prueba admisible en derecho20». O que: «El deber de
información al que se refiere el art. 5 de la Ley Orgánica 15/1999,
de 13 de diciembre, deberá llevarse a cabo a través de un medio que permita acreditar su cumplimiento, debiendo conservarse mientras persista el tratamiento de los datos del afectado»21.
Como reglas especiales a destacar en materia de consentimiento, decir que si bien la regla
general es la necesidad de consentimiento, hay excepciones que permiten realizar los tratamientos
debidos sin necesidad del mismo, por ejemplo, cuando exista una Ley que así lo autorice, o cuando
sean tratamientos que deriven de la existencia de una relación jurídica cuyo cumplimiento y desarrollo los haga necesarios.
También debemos tener presente que el carácter de especialmente protegidos22 de algunos
datos lleva consigo la exigencia de que el consentimiento sea expreso, cuando se trata de datos
relativos a la salud, la vida sexual o el origen racial, y, además de expreso, por escrito cuando los
datos se refieran a ideología, afiliación sindical, religión o creencias. Datos estos que, como ya
hemos señalado, suelen ser tratados en el ámbito de los servicios sociales, de ahí la necesidad de
conocer esta regla especial y cumplirla en los casos en que sea necesario.
Para terminar con esta referencia al principio de consentimiento, y por las implicaciones que el
mismo puede tener en este ámbito, queremos señalar que el RDLOPD ha venido a arrojar luz sobre
la posibilidad de que los menores de edad presten el consentimiento por sí mismos, así el art. 13
de este cuerpo normativo dispone: «Podrá procederse al tratamiento de los datos de los mayores
20
21
22
uando el responsable del tratamiento no esté establecido en el territorio de la Unión Europea y utilice en el traC
tamiento de datos medios situados en territorio español, deberá designar, salvo que tales medios se utilicen con
fines de trámite, un representante en España, sin perjuicio de las acciones que pudieran emprenderse contra el
propio responsable del tratamiento».
Artículo 12.3 del RDLOPD.
Artículo 18.1 del RDLOPD.
Recordemos que eran los datos referentes a la ideología, afiliación sindical, religión o creencias, origen racial,
salud o vida sexual.
© El Consultor de los Ayuntamientos
ElConsultor-5.indb 693
Rev. 5/2009
693
02/03/2009 11:46:44
O
PINIÓN
Actualidad
de catorce años con su consentimiento, salvo en aquellos casos en los que la Ley exija para su
prestación la asistencia de los titulares de la patria potestad o tutela. En el caso de los menores de
catorce años se requerirá el consentimiento de los padres o tutores».
Si bien, esta regla está limitada en el sentido de que en ningún caso podrán recabarse del menor
datos que permitan obtener información sobre los demás miembros del grupo familiar, o sobre las
características del mismo, como los datos relativos a la actividad profesional de los progenitores, información económica, datos sociológicos o cualesquiera otros, sin el consentimiento de los titulares
de tales datos. No obstante, podrán recabarse los datos de identidad y dirección del padre, madre
o tutor con la única finalidad de recabar la autorización necesaria.
En estos casos, la información dirigida a los menores de edad deberá expresarse en un lenguaje que sea fácilmente comprensible por aquéllos, y corresponderá al responsable del fichero o
tratamiento articular los procedimientos que garanticen que se ha comprobado de modo efectivo la
edad del menor y la autenticidad del consentimiento prestado en su caso, por los padres, tutores o
representantes legales.
Otros principios que rigen el tratamiento legal de los datos son el principio de seguridad de los
datos, la exigencia de que la cesión o comunicación de datos se realice, como regla general, con
el previo consentimiento del interesado o la necesidad de formalizar en un contrato por escrito las
prestaciones de servicios que se encomienden a terceros. Principios todos estos que por las peculiaridades que presentan y por las novedades que han visto introducidas con el RDLOPD, pasamos
a analizar detalladamente a continuación.
3.3. Seguridad de los datos
La seguridad de los datos de carácter personal exige, como primera obligación la adopción de un
documento de seguridad que refleje la política de seguridad adoptada por la empresa o la entidad
pública para el tratamiento de los datos. Los datos de carácter personal se clasifican en tres niveles
de medidas de seguridad, básico, medio y alto, y el RDLOPD describe las medidas de seguridad
que como mínimo se deben adoptar para garantizar la seguridad de los datos en cada uno de los
niveles.
Estos niveles de medidas de seguridad son acumulativos, de forma que a un fichero de nivel
medio se le deben aplicar las medidas de seguridad de nivel básico y las de nivel medio y a un
fichero de nivel alto se aplicarán las medidas de seguridad de nivel básico, las de nivel medio y las
propias de nivel alto.
La aplicación de los niveles de medidas de seguridad viene detallada en el art. 81 del RDLOPD23
que dispone, a los efectos que pueden resultar aplicables al tratamiento de datos en la prestación
23
694
Artículo 81. Aplicación de los niveles de seguridad:
«1. Todos los ficheros o tratamientos de datos de carácter personal deberán adoptar las medidas de seguridad
calificadas de nivel básico.
2. Deberán implantarse, además de las medidas de seguridad de nivel básico, las medidas de nivel medio, en
los siguientes ficheros o tratamientos de datos de carácter personal:
a) Los relativos a la comisión de infracciones administrativas o penales.
b) Aquellos cuyo funcionamiento se rija por el artículo 29 de la Ley Orgánica 15/1999, de 13 de diciembre.
c) Aquellos de los que sean responsables Administraciones tributarias y se relacionen con el ejercicio de sus
potestades tributarias.
d) Aquellos de los que sean responsables las entidades financieras para finalidades relacionadas con la prestación de servicios financieros.
e) Aquellos de los que sean responsables las Entidades Gestoras y Servicios Comunes de la Seguridad Social
y se relacionen con el ejercicio de sus competencias. De igual modo, aquellos de los que sean responsables las
mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social.
Rev. 5/2009
ElConsultor-5.indb 694
© El Consultor de los Ayuntamientos
02/03/2009 11:46:44
Actualidad
O
PINIÓN
de servicios sociales, que todos los ficheros o tratamientos de datos de carácter personal deberán
adoptar las medidas de seguridad de nivel básico. Las medidas de nivel medio, se aplicarán a los
ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales; y
a aquéllos que contengan un conjunto de datos de carácter personal que ofrezcan una definición
de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados
aspectos de la personalidad o del comportamiento de los mismos.
Por su parte, las medidas de nivel alto se aplicarán en los ficheros o tratamientos de datos de
carácter personal que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen
racial, salud o vida sexual; los que contengan o se refieran a datos recabados para fines policiales
sin consentimiento de las personas afectadas, aquéllos que contengan datos derivados de actos de
violencia de género.
Hasta aquí, algunas nociones básicas en materia de seguridad de datos, ahora queremos destacar dos aspectos, y para ello, como cuestión previa, destacaremos que hasta la aprobación del
RDLOPD, la LOPD encontraba una laguna en su desarrollo reglamentario en materia de medidas
de seguridad aplicables a los ficheros manuales. El art. 9 de la LOPD dispone:
«1. El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas
de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y
eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología,
la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción
humana o del medio físico o natural.
2. No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento,
locales, equipos, sistemas y programas.
3. Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros y las
personas que intervengan en el tratamiento de los datos a que se refiere el art. 7 de esta Ley».
Para la LOPD, y ya no son novedades del RDLOPD, las conclusiones a las que nos lleva este artículo, en lo que ahora nos interesa, son, en primer lugar, que tanto el responsable del fichero como
el encargado del tratamiento están obligados a observar las medidas de seguridad que establezca
el Reglamento y en segundo lugar que las medidas de seguridad son aplicables a todos los ficheros,
entendiendo la LOPD por fichero, como hemos tenido oportunidad de analizar, tanto los que son
automatizados como los que son manuales. Decimos que no son novedades del RDLOPD, porque
ya la LOPD, siguiendo a la Directiva comunitaria24, recogía estas obligaciones, si bien, la falta de
desarrollo reglamentario ha dificultado, hasta la aprobación del RDLOPD, seriamente su aplicación.
Y esto es lo que vamos a analizar, el desarrollo reglamentario de estas obligaciones.
24
f) Aquellos que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos.
3. Además de las medidas de nivel básico y medio, las medidas de nivel alto se aplicarán en los siguientes
ficheros o tratamientos de datos de carácter personal:
a) Los que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida
sexual.
b) Los que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las personas
afectadas.
c) Aquellos que contengan datos derivados de actos de violencia de género».
Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995, relativa a la protección de
las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
Publicada en el DO. L. 281 de 23 de noviembre de 1995 (LA LEY 5793/1995).
© El Consultor de los Ayuntamientos
ElConsultor-5.indb 695
Rev. 5/2009
695
02/03/2009 11:46:44
O
PINIÓN
Actualidad
Dicho esto, el RDLOPD ha venido a desarrollar, de un lado, el contenido de las medidas de seguridad que deben ser aplicadas, como mínimos exigibles, a los tratamientos de datos en soporte
manual, y en segundo lugar, la forma en la que el encargado del tratamiento debe observar las
medidas de seguridad para proteger los datos cuyo tratamiento se le ha encomendado.
Hemos elegido centrarnos en estas dos cuestiones, en lo que a medidas de seguridad corresponde, porque entendemos que tienen una especial aplicación en un ámbito como el de los servicios sociales. Así, como analizaremos después, la figura del encargado del tratamiento en todas
sus modalidades es de gran aplicación a la prestación de estos servicios, los responsables de la
prestación de servicios sociales acuden con frecuencia a la externalización de determinados servicios que implican un tratamiento de datos en su desarrollo y que cumplen todos los requisitos para
considerarse como un acceso a datos por cuenta de terceros y aplicarle todas las exigencias que
derivan de la LOPD y del RDLOPD y que posteriormente analizaremos.
3.3.1. Ficheros manuales
En el ámbito de los servicios sociales, el tratamiento de los datos personales se desarrolla tanto
en soportes automatizados como en soportes manuales y la mayoría de los tratamientos se realizan
de forma mixta, parte en soporte automatizado, parte en soporte papel. Este hecho nos lleva a la
necesidad de analizar la obligación de seguridad de los datos desde la perspectiva de las medidas
de seguridad que deben aplicarse a los soportes automatizados y las que corresponden a los ficheros manuales.
El desarrollo reglamentario de la LOPD también demandaba con urgencia la determinación de
las medidas de seguridad que debían ser aplicadas a los ficheros o tratamientos de datos manuales
o no automatizados. El RDLOPD dedica a estos los arts. 105 a 114 y en ellos se hace referencia a
los criterios de archivo de la documentación disponiendo que estos deberán garantizar la correcta
conservación de los documentos, la localización y consulta de la información y posibilitar el ejercicio de los derechos. En segundo lugar, establece que los dispositivos de almacenamiento de los
documentos deberán disponer de mecanismos que obstaculicen su apertura u otros que impidan el
acceso de personas no autorizadas. Como tercera medida de nivel básico, aborda un problema de
seguridad muy frecuente en el tratamiento de datos en soporte papel cual es el de la custodia de los
soportes mientras la documentación con datos de carácter personal no se encuentre archivada en
los dispositivos de almacenamiento. Se refiere a supuestos en los que la documentación esté siendo
utilizada para el desarrollo del trabajo del personal y establece que en estos casos la persona que
se encuentre al cargo de la misma deberá custodiarla e impedir en todo momento que pueda ser
accedida por persona no autorizada.
Como medidas de seguridad de nivel medio se refiere a la necesidad de designar un responsable de seguridad y de realizar una auditoria, al menos cada dos años, que verifique el cumplimiento
de la política de seguridad. Por su parte, como medidas específicas de nivel alto, el Reglamento se
refiere a cuestiones como el lugar de almacenamiento de la información, la copia o reproducción
de la documentación, el control del acceso a la documentación y el traslado físico de la documentación.
Como conclusión a esta breve referencia a las medidas de seguridad que deben adoptarse para
proteger los ficheros manuales o no automatizados, decir que, en contra de lo que muchas veces
pensamos, la protección de los datos de carácter personal en soporte papel se hace, en la mayoría
de los casos, mucho más compleja y difícil de garantizar. En este sentido, la Agencia de Protección
de Datos de la Comunidad de Madrid25 estima que es conveniente la migración de la información
personal desde el soporte papel al soporte informático. El recurso a la informática dentro del ámbito
25
696
ecogido en la obra Protección de datos personales para servicios sociales públicos, de la Agencia de ProtecR
ción de Datos de la Comunidad de Madrid, Thomson Aranzadi, 2008, Madrid. Pág. 22.
Rev. 5/2009
ElConsultor-5.indb 696
© El Consultor de los Ayuntamientos
02/03/2009 11:46:44
Actualidad
O
PINIÓN
de los servicios sociales permite la reducción del gasto corriente y el subsiguiente incremento de las
prestaciones sociales, además de favorecer la implantación de mejores medidas de seguridad, con
el consiguiente fortalecimiento de la confidencialidad de la información.
3.3.2. Encargados del tratamiento
En primer lugar, trataremos las reglas especiales que implica la aplicación de medidas de seguridad por el encargado del tratamiento. Reglas especiales que no exceptúan la obligación de observar
las reglas generales que el Reglamento establece en materia de medidas de seguridad.
En el ámbito de los servicios sociales, como desarrollaremos después, es muy frecuente la externalización de determinados servicios en terceras empresas a las que se encomienda su gestión.
En estos casos, atendiendo a las circunstancias, nos podemos encontrar ante un encargado del
tratamiento que actúa por cuenta del responsable y que debe firmar con este un contrato que reúna
todas las exigencias del art. 12 de la LOPD. Entre estas exigencias se encontrará, necesariamente,
la de su compromiso de garantizar la seguridad de los datos. Como reglas especiales a este respecto encontramos los siguientes supuestos:
Prestación de servicios en los locales del responsable
En este caso y conforme al art. 82.1 del RDLOPD, el responsable del fichero deberá hacer
constar esta circunstancia en su documento de seguridad y el personal del encargado del tratamiento deberá comprometerse al cumplimiento de las medidas de seguridad previstas en el citado
documento.
Prestación de servicios por acceso remoto
Cuando dicho acceso sea remoto, si el responsable ha prohibido al encargado incorporar tales
datos a sistemas o soportes distintos de los suyos propios, se deberá hacer constar esta circunstancia en el documento de seguridad del responsable y de nuevo el personal del encargado del
tratamiento deberá comprometerse al cumplimiento de las medidas de seguridad previstas en el
citado documento.
Prestación de servicios en los locales del encargado del tratamiento
En este caso, conforme al art. 82.2. del RDLOPD, el encargado del tratamiento deberá elaborar un documento de seguridad o completar el que ya hubiera elaborado, identificando el fichero
o tratamiento y el responsable del mismo e incorporando las medidas de seguridad a implantar en
relación con dicho tratamiento.
Prestaciones de servicios sin acceso a datos personales
Cuando el servicio que se vaya a prestar no requiera del tratamiento de datos de carácter personal, pero, por ejemplo, en el lugar en el que este servicio se vaya a desarrollar, se encuentran soportes y recursos que contienen información personal, el contrato de prestación de servicios recogerá
expresamente la prohibición de acceder a los datos personales y la obligación de secreto respecto
a los datos que el personal hubiera podido conocer con motivo de la prestación del servicio.
Dicho esto, y con carácter general, mencionar que la existencia de un encargado del tratamiento implica que esta circunstancia debe constar en el documento de seguridad del responsable del
fichero y en el documento de seguridad del encargado del tratamiento, así veníamos haciéndolo en
la práctica y el RDLOPD ha venido a detallar esta obligación en su art. 88.5 donde dispone que el
© El Consultor de los Ayuntamientos
ElConsultor-5.indb 697
Rev. 5/2009
697
02/03/2009 11:46:44
O
PINIÓN
Actualidad
encargado del tratamiento recogerá en su documento de seguridad «la identificación de los ficheros o tratamientos que se traten en concepto de encargado con referencia expresa al contrato o
documento que regule las condiciones del encargo, así como de la identificación del responsable
y del período de vigencia del encargo».
Para cumplir esta obligación también hay que atender a las circunstancias del encargo, así, en
aquellos casos en los que datos personales de un fichero o tratamiento se incorporen y traten de
modo exclusivo en los sistemas del encargado, el responsable deberá anotarlo en su documento
de seguridad. De este modo, el Reglamento llega a prever que cuando tal circunstancia afectase
a parte o a la totalidad de los ficheros o tratamientos del responsable, éste puede delegar en el
encargado la llevanza del documento de seguridad, salvo en lo relativo a aquellos datos contenidos
en recursos propios.
En cualquier caso, lo importante es que el contrato de prestación de servicios cumpla todas las
exigencias del art. 12 de la LOPD y refleje todas estas cuestiones de forma clara y precisa.
3.4. Relaciones con terceros
Cuando un responsable del fichero tiene que transmitir los datos de carácter personal contenidos
en los ficheros de los que él es responsable a un tercero, pueden darse dos situaciones, o que ese
tercero sea un cesionario y se esté realizando una cesión o comunicación de datos, o que ese tercero sea un encargado del tratamiento que acceda y trate los datos por cuenta del responsable.
En el ámbito de los servicios sociales ambas figuras son muy frecuentes. La cesión o comunicación de datos se regula en el art. 11 de la LOPD, que como regla general establece la necesidad de
consentimiento del titular de los datos para poder proceder a la cesión.
Este consentimiento requiere que el titular de los datos conozca quién
La cesión o comunicación de
es el cesionario y que la cesión sea necesaria para cumplir fines reladatos se regula en el art. 11 de la cionados entre las funciones que desempeña el responsable del fichero
LOPD, que establece la necesidad o cedente y el cesionario de los datos.
de consentimiento del titular de
los datos para poder proceder a
la cesión
Sin embargo, como toda regla general, la del consentimiento para
la cesión tiene excepciones y, a los efectos que nos ocupan, podemos
destacar las que hacen referencia a la existencia de una norma con
rango de ley que autorice la cesión, cuando se trate de datos recogidos
de fuentes accesibles al público26, cuando el tratamiento responda a la
libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique
necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación solo será legítima en cuanto se limite a la finalidad que la justifique. Cuando la comunicación
que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces
o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco será preciso el consentimiento cuando la comunicación tenga como destinatario a instituciones
autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas. Cuando la
cesión se produzca entre Administraciones públicas y tenga por objeto el tratamiento posterior de los
datos con fines históricos, estadísticos o científicos. Cuando la cesión de datos de carácter personal
relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero
26
698
onforme al artículo 3 j) de la LOPD son fuentes accesibles al público «aquellos ficheros cuya consulta puede
C
ser realizada, por cualquier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso,
el abono de una contraprestación. Tienen la consideración de fuentes de acceso público, exclusivamente, el
censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas
de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título,
profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el
carácter de fuentes de acceso público los diarios y boletines oficiales y los medios de comunicación».
Rev. 5/2009
ElConsultor-5.indb 698
© El Consultor de los Ayuntamientos
02/03/2009 11:46:44
Actualidad
O
PINIÓN
o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre
sanidad estatal o autonómica.
En materia de servicios sociales, las cesiones de datos amparadas en una ley nos llevan a
pensar en ejemplos como los relacionados con violencia de género, mediación familiar, etc. Por su
parte, las cesiones derivadas de una relación jurídica son definidas por la Recomendación 1/2008
así:
«Del mismo modo que no es necesario el consentimiento para recabar los datos de una persona si los
datos se refieren a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa,
tampoco lo es para comunicar (ceder) los datos a un tercero, siempre que sea preciso y necesario para
el cumplimiento y control de la relación jurídica establecida. Esta relación jurídica puede ser de carácter
laboral, administrativa, asociativa, corporativa, negocial o contractual. En el ámbito que nos ocupa, esta
relación jurídica se establece entre los usuarios y los Centros de Servicios Sociales de la Comunidad de
Madrid y los Centros de Servicios Sociales de los Entes Locales de la Comunidad de Madrid, de manera
que en ocasiones será necesario comunicar datos a un tercero, comunicación que se puede realizar sin el
consentimiento del usuario, siempre y cuando la finalidad de la cesión venga derivada de las competencias
en materia de servicios sociales de las Administraciones Públicas citadas».
Por su parte, la segunda figura que deriva de las relaciones del responsable del fichero con
terceros, nos lleva a la prestación de servicios o acceso a datos por cuenta de terceros. Esto es, a
la figura del encargado del tratamiento a la que ya hemos hecho referencia. En estos supuestos,
debemos estar a lo dispuesto en el art. 12 de la LOPD y en los arts. 20 a 22 del RDLOPD. En este
caso, estamos ante una excepción a la aplicación de las reglas de la cesión o comunicación de
datos siempre que cumplamos las reglas que pasamos a detallar.
El contenido del art. 12 de la LOPD lo podemos resumir en la necesidad de que el responsable del fichero firme con el encargado del tratamiento un contrato, que deberá constar por escrito
o en alguna otra forma que permita acreditar su celebración y contenido y en él se establecerá
expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que
figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.
Además, en el contrato se estipularán, como ya lo tratamos al analizar el deber de seguridad, las
medidas de seguridad a que se refiere el art. 9 de la LOLPD que el encargado del tratamiento
está obligado a implementar.
El contrato deberá establecer el destino de los datos una vez cumplida la prestación contractual,
determinando si los datos de carácter personal deberán ser destruidos o devueltos al responsable
del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter
personal objeto del tratamiento.
Todas estas reglas se aplicarán siempre que el encargado del tratamiento cumpla con lo estipulado en el contrato, de este modo, la LOPD dispone que si el encargado destina los datos a otra
finalidad, los comunica o los utiliza incumpliendo estas estipulaciones, será considerado también
responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.
Dicho esto, y en relación con la regulación que el RDLOPD realiza de esta figura, señalar que
viene a tratar cuestiones que la práctica había demostrado como necesarias y a las que la LOPD
no daba una respuesta. Se trata de temas como la posibilidad de que el encargado del tratamiento
pueda subcontratar a un tercero para la prestación del servicio encomendado por el responsable,
o cómo proceder a la conservación de los datos que han sido objeto de tratamiento por el encargado.
En cuanto a la subcontratación, el art. 21 del Reglamento establece la necesidad de previa autorización del responsable para proceder a la subcontratación y realizar esta en nombre y por cuenta
del responsable del tratamiento.
© El Consultor de los Ayuntamientos
ElConsultor-5.indb 699
Rev. 5/2009
699
02/03/2009 11:46:44
O
PINIÓN
Actualidad
Como excepción a esta regla general de la necesidad de autorización, a continuación se establece que será posible la subcontratación cuando se especifiquen en el contrato los servicios que
puedan ser objeto de subcontratación y la empresa con la que se vaya a subcontratar. Cuando la
necesidad de subcontratación surja con posterioridad al contrato, el encargado deberá comunicar al
responsable los datos que la identifiquen antes de proceder a la subcontratación.
En estos casos la empresa subcontratada deberá firmar con el encargado del tratamiento un
contrato que reúna todas las exigencias del art. 12 de la LOPD y estará sujeto a las mismas responsabilidades que éste cuando no cumpla las instrucciones estipuladas por el responsable del fichero
para la prestación del servicio encomendado.
Respecto de la conservación de los datos por el encargado del tratamiento y dado que una vez
cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento o al encargado que éste hubiese designado, al igual que cualquier
soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento, el
art. 22 del Reglamento establece que no procederá la destrucción de los datos cuando exista una
previsión legal que exija su conservación, en cuyo caso deberá procederse a la devolución de los
mismos garantizando el responsable del fichero dicha conservación. Y añade que el encargado del
tratamiento conservará, debidamente bloqueados, los datos en tanto pudieran derivarse responsabilidades de su relación con el responsable del tratamiento.
3.5. Atención y respuesta al ejercicio de los derechos
El titular de los datos de carácter personal tiene reconocidos en materia de protección de datos
unos derechos que le permiten limitar los tratamientos que se realicen de sus datos, conocer los
tratamientos que se están realizando, actualizar sus datos y oponerse al tratamiento de sus datos
para fines de publicidad, por ejemplo. Entre estos derechos, encontramos los derechos de acceso,
rectificación, cancelación y oposición, pero estos cuatro derechos no son los únicos reconocidos
por la LOPD. Además, se reconoce a los titulares de los datos el derecho de impugnación de
valoraciones, el derecho de consulta al Registro General de Protección de Datos y el derecho
de indemnización por daños o lesiones en sus bienes o derechos sufridos por un tratamiento de
datos no conforme a la LOPD.
El derecho de acceso faculta al
titular de los datos a solicitar
información sobre sus datos de
carácter personal sometidos a
tratamiento por el responsable del
fichero
La regulación jurídica de estos derechos la encontramos en la
LOPD, que dedica a los derechos de las personas el Título III que se
desarrolla en los arts. 13 a 19. Estos artículos se encuentran desarrollados en el RDLOPD 23 a 36.
Lo primero que debemos destacar de estos derechos es su carácter
personalísimo, esto es, solo pueden ser ejercitados por el titular de los
datos y la LOPD reconoce dos únicos supuestos en los que se puede
admitir el ejercicio de estos derechos por representante y son el caso
de los menores de edad y de los incapaces legales. Por su parte, el
RDLOPD ha venido a ampliar las posibilidades de ejercicio de estos derechos a los representantes
voluntarios que expresamente hayan sido designados para el ejercicio del derecho.
Otra cuestión que entendemos relevante, desde el punto de vista del responsable del fichero,
es la referente a que siempre se tiene que contestar el ejercicio de los derechos, es decir, cuando
recibimos un ejercicio de derechos debemos responder dentro del plazo previsto y proceda o no
proceda la solicitud que se nos realiza. Esto es, si se ejercita el derecho de acceso por una persona
de la que no nos constan datos personales en nuestros ficheros, debemos contestarle indicando
esta circunstancia. Si lo que se solicita es la rectificación o la cancelación de unos datos y esto no
procede, responderemos argumentando nuestra decisión. Igualmente, respecto del derecho de oposición, deberemos contestar su solicitud indicando si podemos proceder a atenderlo o no porque,
por ejemplo, existe una ley que se opone a ello.
700
Rev. 5/2009
ElConsultor-5.indb 700
© El Consultor de los Ayuntamientos
02/03/2009 11:46:44
Actualidad
O
PINIÓN
El derecho de acceso faculta al titular de los datos a solicitar información sobre sus datos de carácter personal sometidos a tratamiento por el responsable del fichero. Esta solicitud de información
le da derecho a conocer el origen de los datos y las cesiones de los mismos a terceros realizadas
o que se prevean realizar. Este derecho se puede ejercitar mediante petición o solicitud dirigida al
responsable del fichero, formulada por cualquier medio que garantice la identificación del afectado
y en la que conste el fichero o ficheros a consultar.
Regulados en el art. 16 de la LOPD, los derechos de rectificación y cancelación podrán ejercitarse cuando el tratamiento de los datos de carácter personal no se ajuste a lo dispuesto en la
LOPD y, en particular, cuando tales datos resulten inexactos o incompletos. Estos derechos procederán cuando los datos del afectado sean inexactos o incompletos, inadecuados o excesivos, para
solicitar del responsable del fichero la rectificación o la cancelación de los mismos. La solicitud de
rectificación deberá indicar el dato que es erróneo y la corrección que debe realizarse, y debiendo
ir acompañada de la documentación justificativa de la rectificación solicitada, salvo que la misma
dependa exclusivamente del consentimiento del interesado. Si los datos rectificados hubieran sido
comunicados previamente, el responsable del tratamiento deberá notificar la rectificación efectuada
a quien se hayan comunicado. También procede la cancelación cuando el tratamiento de los datos
personales no se ajuste a lo dispuesto en la Ley y, en particular, cuando tales datos resulten inexactos o incompletos.
Conforme al art. 6.4. de la LOPD, procederá ejercitar el derecho de oposición cuando para el
tratamiento de los datos personales del afectado no sea necesario su consentimiento, y siempre
que una Ley no disponga lo contrario, o cuando existan motivos fundados y legítimos relativos a una
concreta situación personal.
4. CONCLUSIÓN
Para concluir estas líneas incidir en el hecho de que cumplir la normativa de protección de datos
implica observar varias obligaciones siendo una de ellas la inscripción de los ficheros de los que
uno es responsable, pero no limitándose a eso. En el tratamiento de los datos, necesario para la
prestación de los servicios sociales, deben observarse unos principios que regulan cómo debe ser
ese tratamiento y nos indican qué datos podemos y debemos recoger, cómo debemos proceder a
realizar esa recogida, qué medidas debemos adoptar para garantizar la seguridad, cuándo y cómo
podemos proceder a ceder los datos a un tercero o a encargar la prestación de un servicio a un
tercero y cómo atender y dar respuesta al ejercicio de los derechos que los titulares de los datos
tienen reconocidos.
© El Consultor de los Ayuntamientos
ElConsultor-5.indb 701
Rev. 5/2009
701
02/03/2009 11:46:44
Documentos relacionados
M . 9
M . 9
SANCIONES POR INFRINGIR LA LEY DE PROTECCION DE
SANCIONES POR INFRINGIR LA LEY DE PROTECCION DE
La Ley de Protección de Datos y la Puesta en Marcha de su aplicación
La Ley de Protección de Datos y la Puesta en Marcha de su aplicación
EXAMEN FINAL DERECHO INFORMÁTICO
EXAMEN FINAL DERECHO INFORMÁTICO
pautas a seguir por el alumno para la entrega de trabajos fin de
pautas a seguir por el alumno para la entrega de trabajos fin de
Programa jornada medidas de seguridad
Programa jornada medidas de seguridad
Manual Practico Derecho Com Documento Seguridad III
Manual Practico Derecho Com Documento Seguridad III
Autorización a terceroshot!
Autorización a terceroshot!
Boletín inscripción Marcha Senderista Ibón de Plan
Boletín inscripción Marcha Senderista Ibón de Plan
Descargar
Anuncio
Anuncio