1 ESTUDIOS SOBRE LA MODERNIZACIÓN DE LA
Anuncio
LAS ENTIDADES LOCALES COMO GARANTES DE LA PROTECCIÓN DE DATOS EN LA PRESTACIÓN DE SERVICIOS DE ADMINISTRACIÓN ELECTRÓNICA ESTUDIOS SOBRE LA MODERNIZACIÓN DE LA ADMINISTRACIÓN LOCAL: teoría y práctica. Editorial El Consultor de los Ayuntamientos y de los juzgados. LA LEY 2009 LIBRO I. Administración electrónica y moderna administración. CAPÍTULO IV: LAS ENTIDADES LOCALES COMO GARANTES DE LA PROTECCIÓN DE DATOS EN LA PRESTACIÓN DE SERVICIOS DE ADMINISTRACIÓN ELECTRÓNICA AUTOR: MARÍA ARIAS POU. ABOGADO ESPECIALISTA EN PROTECCIÓN DE DATOS. DIRECTORA DE ARIAS POU ABOGADOS TIC. PROFESORA DE LA UNIVERSIDAD EUROPEA DE MADRID. SUMARIO: 1. INTRODUCCIÓN. 2. LA PROTECCIÓN DE DATOS EN LA LAECSP. 3. LA PROTECCIÓN DE DATOS, UN DERECHO FUNDAMENTAL. 4. CONCEPTOS BÁSICOS. 5. OBLIGACIONES EN MATERIA DE PROTECCIÓN DE DATOS. 6. ÓRGANOS DE VIGILANCIA Y CONTROL. 7. CONCLUSIONES. 8. BIBLIOGRAFÍA RELACIONADA. 1. INTRODUCCIÓN La preocupación de las Entidades Locales por el cumplimiento de la normativa en materia de protección de datos crece cada día y en los últimos tiempos se enfrenta a un nuevo reto: el cumplimiento de esta normativa en el entorno electrónico. Con la Ley de Acceso Electrónico de los Ciudadanos a los Servicios Públicos1, comenzó la cuenta atrás hacia el 31 de diciembre de 2009, fecha prevista para la adaptación de las Administraciones Públicas para el ejercicio de derechos2, y con ello, aumentó, entre 1 Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos. (BOE núm. 150 de 23 de junio). En adelante también LAECSP. 2 La Disposición final tercera. Adaptación de las Administraciones Públicas para el ejercicio de derechos. “1. Desde la fecha de entrada en vigor de la presente Ley, los derechos reconocidos en el artículo 6 de la presente ley podrán ser ejercidos en relación con los procedimientos y actuaciones adaptados a lo dispuesto en la misma, sin perjuicio de lo señalado en los siguientes apartados. A estos efectos, cada Administración Pública hará pública y mantendrá actualizada la relación de dichos procedimientos y actuaciones. 2. En el ámbito de la Administración General del Estado y los organismos públicos vinculados o dependientes de ésta, los derechos reconocidos en el artículo 6 de la presente ley podrán ser ejercidos en relación con la totalidad de los procedimientos y actuaciones de su competencia a partir del 31 de diciembre de 2009. A tal fin, el Consejo de Ministros establecerá y hará público un calendario de adaptación gradual de aquellos procedimientos y actuaciones que lo requieran. 3. En el ámbito de las Comunidades Autónomas, los derechos reconocidos en el artículo 6 de la presente ley podrán ser ejercidos en relación con la totalidad de los procedimientos y actuaciones de su competencia a partir del 31 de diciembre de 2009 siempre que lo permitan sus disponibilidades presupuestarias. 4. En el ámbito de las Entidades que integran la Administración Local, los derechos reconocidos en el artículo 6 de la presente ley podrán ser ejercidos en relación con la totalidad de los procedimientos y actuaciones de su competencia a partir del 31 de diciembre de 2009 siempre que lo permitan sus disponibilidades presupuestarias. A estos efectos las Diputaciones Provinciales, o en su caso los Cabildos y Consejos Insulares u otros organismos supramunicipales, podrán prestar los servicios precisos para garantizar tal efectividad en el ámbito de los municipios que no dispongan de los medios técnicos y organizativos necesarios para prestarlos.” © MARíA ARIAS POU 1 LAS ENTIDADES LOCALES COMO GARANTES DE LA PROTECCIÓN DE DATOS EN LA PRESTACIÓN DE SERVICIOS DE ADMINISTRACIÓN ELECTRÓNICA otras, la preocupación de las distintas Administraciones Públicas, y de las Locales entre ellas; en relación con el cumplimiento de la normativa sobre protección de datos. Por la LAECSP el ciudadano pasa a tener el derecho de poder realizar todos los trámites ante la Administración Pública por vía electrónica. En este sentido, surge la necesidad de repasar e insistir en la necesidad de que en el entorno electrónico se deben observar las mismas exigencias legales que el en entorno off line y además las específicas del medio por el que se realizan, el medio electrónico. En concreto, nos centraremos, como ya hemos anticipado, en el análisis del cumplimiento de las principales obligaciones que surgen en el entorno electrónico en relación con la protección de datos de carácter personal. Siendo el entorno electrónico un concepto bastante amplio, también debemos matizar que centraremos este análisis en el ámbito de Internet, con independencia de que sean otros los escenarios electrónicos que ofrecen las Nuevas Tecnologías y a través de los cuales las Entidades Locales, que son las que nos ocupan en esta obra, pueden prestar servicios públicos. Estamos por tanto situados ante el portal web de una Entidad Local en el que se ofrece la posibilidad de realizan trámites diversos y vamos a analizar las obligaciones que, desde el punto de vista de la protección de datos de carácter personal, nacen para el titular del portal. Con carácter general, observamos cómo en el desarrollo de toda actividad pública, se procede a la recogida y tratamiento de una ingente cantidad de información personal, necesaria para gestionar la prestación de servicios públicos que corresponden a las Entidades Locales. Así por ejemplo, en las relaciones con los vecinos del municipio, con los proveedores de la Entidad Local o con los trabajadores de la misma, entre otras. Esta información personal que se trata, debe estar correctamente protegida ya que en la mayoría de los casos estamos manejando información que dice mucho más de sus titulares de lo que a priori nos pudiera parecer. Y todo esto sin contar con la cantidad de información personal sensible que las Entidades Locales se ven obligadas a tratar, en la prestación de determinados servicios públicos, como es el caso de los relacionados con temas de sanidad, educación o servicios sociales3, por ejemplo. La normativa vigente sobre protección de datos está compuesta por la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal4, que entró en vigor el 14 de enero de 2000 y a la que en adelante haremos referencia como a la LOPD. Esta Ley supuso la transposición a nuestro ordenamiento jurídico de la Directiva 95/46/CE5, Directiva relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Actualmente, se 3 A este respecto, recomiendo la obra “Protección de datos personales para Servicios Sociales Públicos” de la Agencia de Protección de Datos de la Comunidad de Madrid. Edición Thomson Civitas. Mayo 2008. Madrid. Así como el artículo “Protección de datos en la prestación de servicios sociales” de ARIAS POU, M. publicado en la Revista El Consultor de los Ayuntamiento y de los Juzgados núm. 5 de 15 de marzo de 2009. Págs. 686 a 701. 4 Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (BOE núm. 298, 14 de diciembre) LA LEY-LEG. 4633/1999. 5 Directiva 95/46/CE, de 24 de octubre, del Parlamento Europeo y del Consejo. Protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. (DOCE L. 281 de 23 de noviembre). LA LEY-LEG. 98204/1995. © MARíA ARIAS POU 2 LAS ENTIDADES LOCALES COMO GARANTES DE LA PROTECCIÓN DE DATOS EN LA PRESTACIÓN DE SERVICIOS DE ADMINISTRACIÓN ELECTRÓNICA encuentra desarrollada por el Real Decreto 1720/20076, al que nos referiremos como Reglamento de desarrollo de la LOPD o como RDLOPD. Reglamento que tardó 8 años en ver la luz y que entró en vigor el 19 de abril de 2008. La tardanza de este desarrollo reglamentario de la LOPD trajo consigo la necesidad de aplicar la Disposición transitoria tercera de la LOPD que preveía la vigencia del Real Decreto 1332/19947, de 20 de junio, que desarrolla determinados aspectos de la anterior Ley Orgánica de Protección de Datos8 y el Real Decreto 994/1999, de 11 de junio, que aprueba el Reglamento de Medidas de Seguridad de los ficheros que contengan datos de carácter personal9. Reglamentos estos que se dictaron para desarrollar la Ley Orgánica anterior y que no alcanzaban a cubrir todos los aspectos que para la LOPD necesitaban de desarrollo reglamentario, por tanto, han sido ocho años de aplicación de una normativa durante los que se ha requerido de constantes interpretaciones y búsqueda de soluciones para el cumplimiento de esta normativa. Actualmente, y después de haber transcurrido el primer año de aplicación del RDLOPD, poco a poco se va alcanzado un mayor nivel de seguridad jurídica en una materia como la protección de datos que cada día preocupa más a los ciudadanos. La aplicación de la LOPD implica un control y exige una protección de la información personal que se maneja en el desarrollo de toda actividad pública o privada. Establece unos principios de actuación cuyo cumplimiento garantiza que los datos que tratamos sean adecuados, pertinentes y no excesivos de acuerdo con la finalidad del tratamiento, que el titular de los datos haya consentido el tratamiento y haya sido informado de quién está tratando sus datos, con qué finalidad y cuáles son los derechos que se le reconocen en la materia. Además, las pautas de seguridad exigidas proporcionan un tratamiento correcto de los datos personales. El órgano encargado de la vigilancia y control de la normativa sobre protección de datos, sin perjuicio de la atención que le prestaremos más adelante, es la Agencia Española de Protección de Datos que tiene competencia en todo el territorio nacional en materia de ficheros de titularidad privada y en materia de ficheros de titularidad pública, en aquellos territorios autonómicos en los que no se ha creado todavía un órgano autonómico competente. Actualmente existen tres organismos autonómicos que son, por orden de creación, la Agencia de Protección de Datos de la Comunidad de Madrid, la Agencia Catalana de Protección de Datos y la Agencia Vasca de Protección de Datos10. Estos órganos, como decimos, son competentes en materia de ficheros de titularidad pública de la Comunidad autónoma que, en cada caso, corresponde. Dicho esto, pasemos a analizar la naturaleza del derecho a la protección de datos. 6 Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. (BOE núm. 17 de 19 de enero de 2008). 7 Real Decreto 1332/1994, de 20 de junio, que desarrolla determinados aspectos de la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de Datos. (BOE núm.147, de 21 de junio) LA LEY-LEG. 2172/1994. 8 La Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de Datos. (BOE núm. 262, de 31 de octubre). LA LEY-LEG. 3036/1992. También conocida como LORTAD. 9 Real Decreto 994/1999, de 11 de junio, que aprueba el Reglamento de medidas de seguridad de los ficheros que contengan datos de carácter personal. (BOE núm.151, de 25 de junio) LA LEY-LEG. 2675/1999. 10 Estas Agencias Autonómicas las encontramos respectivamente en www.apdcm.es; www.apcat.net y www.avpd.euskadi.net. como posteriormente haremos referencia. © MARíA ARIAS POU 3 LAS ENTIDADES LOCALES COMO GARANTES DE LA PROTECCIÓN DE DATOS EN LA PRESTACIÓN DE SERVICIOS DE ADMINISTRACIÓN ELECTRÓNICA 2. LA PROTECCIÓN DE DATOS EN LA LAECSP En este análisis sobre el cumplimiento de la normativa sobre protección de datos en el ámbito de la prestación de servicios públicos por medios electrónicos, entendemos necesario detenernos un momento a analizar cómo concibe la LAECSP el deber de cumplir las exigencias derivadas de la protección de datos. Actualmente, la revolución de las nuevas tecnologías han introducido en nuestra sociedad unas posibilidades de relación, a través de medios electrónicos, que trasladan al ámbito on line la necesidad de proteger los derechos de los ciudadanos y la obligación de las Administraciones Públicas de comprometerse a impulsar el definitivo desarrollo de la llamada sociedad de la información. La Exposición de Motivos de la LAECSP muestra esta necesidad cuando explica que “la descentralización política del Estado no se agotó en su primer y más inmediato designio de organizar políticamente España de una forma muy diferente al Estado unitario, sino que ha sido ocasión para que la mayor proximidad democrática de los nuevos poderes autonómicos se tradujese también en una mayor proximidad de las Administraciones de ellos dependientes respecto del ciudadano. (…) No obstante, esa mayor proximidad al ciudadano de la Administración, derivada de la descentralización autonómica y local, no ha acabado de superar la barrera que sigue distanciando todavía al ciudadano de la Administración, de cualquier Administración, incluida la del Estado, y que, muchas veces, no es otra que la barrera que levanta el tiempo y el espacio: el tiempo que hay que dedicar a la relación con aquélla para la realización de muchos trámites de la vida diaria que empiezan a veces por la necesidad de una primera información que exige un desplazamiento inicial, más los sucesivos desplazamientos y tiempo que se dedican a posteriores trámites a hacer con la Administración para las actividades más elementales.” En este sentido, afirma que “Las tecnologías de la información y las comunicaciones hacen posible acercar la Administración hasta la sala de estar de los ciudadanos o hasta las oficinas y despachos de las empresas y profesionales.” Y que, siguiendo “con el primer impulso que inició la Ley 30/1992 de 26 de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común (LRJAP-PAC), que ya en su artículo 45 el impulso al empleo y aplicación de las técnicas y medios electrónicos, informáticos y telemáticos, por parte de la Administración al objeto de desarrollar su actividad y el ejercicio de sus competencias y de permitir a los ciudadanos relacionarse con las Administraciones cuando fuese compatible con los “medios técnicos de que dispongan”. Esta LAECSP da el paso del “podrán” al “deberán” y exige consagrar el derecho del ciudadano a comunicarse con las Administraciones por medios electrónicos. Este derecho obliga a las Administraciones a dotarse de los medios y sistemas electrónicos para que ese derecho pueda ejercerse. Y este reconocimiento general del derecho de acceder electrónicamente a las Administraciones Públicas trae consigo la necesidad de trasladar al entorno electrónico las garantías que se ofrecen en la prestación de servicios off line. © MARíA ARIAS POU 4 LAS ENTIDADES LOCALES COMO GARANTES DE LA PROTECCIÓN DE DATOS EN LA PRESTACIÓN DE SERVICIOS DE ADMINISTRACIÓN ELECTRÓNICA El artículo 1 de la LAECSP describe así el objeto de la Ley: “1. La presente Ley reconoce el derecho de los ciudadanos a relacionarse con las Administraciones Públicas por medios electrónicos y regula los aspectos básicos de la utilización de las tecnologías de la información en la actividad administrativa, en las relaciones entre las Administraciones Públicas, así como en las relaciones de los ciudadanos con las mismas con la finalidad de garantizar sus derechos, un tratamiento común ante ellas y la validez y eficacia de la actividad administrativa en condiciones de seguridad jurídica. 2. Las Administraciones Públicas utilizarán las tecnologías de la información de acuerdo con lo dispuesto en la presente Ley, asegurando la disponibilidad, el acceso, la integridad, la autenticidad, la confidencialidad y la conservación de los datos, informaciones y servicios que gestionen en el ejercicio de sus competencias.” En relación con la protección de datos, la LAECSP recoge como una de las primeras necesidades a cubrir en la prestación de servicios públicos por medios electrónicos la de garantizar la protección de datos de carácter personal que se vean implicados en los tratamientos de datos. En este sentido señala: “Las normas de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal deben bastar, y no se trata de hacer ninguna innovación al respecto, pero sí de establecer previsiones que garanticen la utilización de los datos obtenidos de las comunicaciones electrónicas para el fin preciso para el que han sido remitidos a la Administración.” Su artículo 3 recoge como finalidades de la Ley la necesidad de crear las condiciones de confianza en el uso de los medios electrónicos, estableciendo las medidas necesarias para la preservación de la integridad de los derechos fundamentales, y en especial los relacionados con la intimidad y la protección de datos de carácter personal, por medio de la garantía de la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos. Por su parte, el artículo 4 define los principios que rigen la prestación de estos servicios y señala en primer lugar el respeto al derecho a la protección de datos de carácter personal en los términos establecidos por la LOPD, en las demás leyes específicas que regulan el tratamiento de la información y en sus normas de desarrollo, así como a los derechos al honor y a la intimidad personal y familiar. Dicho esto, vamos a proceder a analizar el cumplimiento de la normativa sobre protección de datos en la prestación de servicios de administración electrónica. Para ello nos ayudaremos de las disposiciones de la LAECSP11 y en segundo lugar, de la Recomendación 3/2008, de 30 de abril, de la Agencia de Protección de Datos de la Comunidad de Madrid, sobre tratamiento de datos de carácter personal en servicios de administración electrónica12 a la que haremos referencia como una aplicación práctica del cumplimiento de la normativa sobre protección de datos en el ámbito electrónico. 3. LA PROTECCIÓN DE DATOS, UN DERECHO FUNDAMENTAL 11 Existe un Proyecto de Real Decreto por el que se desarrolla parcialmente la LAECSP de fecha 27 de enero de 2009 que afecta al ámbito de la Administración General del Estado y de los organismos públicos de ella dependientes. 12 Publicada en el BOCM de 11 de septiembre de 2008. © MARíA ARIAS POU 5 LAS ENTIDADES LOCALES COMO GARANTES DE LA PROTECCIÓN DE DATOS EN LA PRESTACIÓN DE SERVICIOS DE ADMINISTRACIÓN ELECTRÓNICA El objeto de la protección de datos debe quedar claro y ser entendido por los empleados de las Entidades Locales para saber delimitar qué estamos protegiendo. Son muchas las ocasiones en las que se considera que determinada información recabada en nuestra actividad pública, por ejemplo, la de índole contable o fiscal, es más relevante y más susceptible de protección que la información personal sobre nuestros trabajadores o vecinos. Sin embargo, esto no es así, ya que, siendo la información contable o fiscal susceptible de secreto profesional por el que la trata, la información personal de los vecinos o de los trabajadores, tiene el carácter de derecho fundamental y está protegido por una Ley Orgánica, lo que significa que tiene el rango más alto de protección en nuestro ordenamiento jurídico y que debe ser debidamente protegida. Para tener esta premisa clara, partiré del objeto de la LOPD para ir analizando qué protege la normativa sobre protección de datos. El artículo 1 de la LOPD dispone que su objeto es: “garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar.” Lo primero que quiero resaltar de esta declaración es “personas físicas”; la normativa sobre protección de datos, protege a las personas físicas y no a las personas jurídicas. Esto se entiende desde el momento en que se considera que estamos protegiendo un derecho fundamental que hace referencia a la “privacidad” de las personas, cosa que no encontramos en una persona jurídica. Además la LOPD define al titular de los datos de carácter personal como afectado o interesado y como a la persona física titular de los datos que sean objeto del tratamiento13. Y yendo más allá, dato de carácter personal es definido por la Ley como cualquier información concerniente a personas físicas identificadas o identificables14. Por su parte, el RDLOPD define los datos de carácter personal15 como: “Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables.” Identificado el objeto de protección, señalar que el derecho a la protección de datos es un derecho fundamental que deriva del artículo 18.4 de la Constitución Española16 que dispone: “La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.” 13 Artículo 3 e): “Afectado o interesado: persona física titular de los datos que sean objeto del tratamiento a que se refiere el apartado c) del presente artículo”. 14 Artículo 3 a): “Datos de carácter personal: cualquier información concerniente a personas físicas identificadas o identificables.” La información que los datos personales proporcionan de su titular puede, bien identificarle directamente, por ejemplo, su nombre y apellidos, o puede hacerle identificable; pongamos el caso del número del documento nacional de identidad o DNI, un número de socio, de abonado, de suscriptor, etc. Estos datos por sí mismos no identifican directamente a una persona pero la hacen identificable desde el momento en el que a través de ese número se puede llegar a una persona física determinada. 15 En su artículo 5.1. f). 16 Constitución Española de 27 de diciembre de 1978. (BOE núm. 311, de 29 de diciembre). LA LEYLEG. 19668/1978. En adelante también CE. © MARíA ARIAS POU 6 LAS ENTIDADES LOCALES COMO GARANTES DE LA PROTECCIÓN DE DATOS EN LA PRESTACIÓN DE SERVICIOS DE ADMINISTRACIÓN ELECTRÓNICA Como derecho fundamental, ha sido reconocido por el Tribunal Constitucional17 como un derecho autónomo e independiente del derecho a la intimidad, más amplio que éste y que se ha dado en llamar “privacidad”. El Tribunal Constitucional, en la Sentencia 292/2000, de 30 de noviembre, definió el derecho a la protección de datos como el derecho de autodeterminación informativa o de libre disponibilidad de los datos de carácter personal. Así, en dicha sentencia se indica que este derecho fundamental “persigue garantizar a esa persona el poder de control sobre sus datos personales, sobre su uso y destino, con el propósito de impedir su tráfico ilícito y lesivo para la dignidad y derecho del afectado”, estableciendo, en cuanto a su ámbito, que “el objeto de protección del derecho fundamental a la protección de datos no se reduce sólo a los datos íntimos de la persona, sino a cualquier tipo de dato personal, sea o no íntimo, cuyo conocimiento o empleo por tercero pueda afectar a sus derechos sean o no fundamentales, porque su objeto no es sólo la intimidad individual, que para ello esta la protección que el artículo 18.118 CE otorga, sino los datos de carácter personal”. Aún concretando más el contenido del derecho, establece que el poder de disposición y control sobre los datos personales que tal derecho implica “se concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el Estado o un particular. Y ese derecho a consentir el conocimiento y el tratamiento, informático o no, de los datos personales, requiere como complementos indispensables, por un lado, la facultad de saber en todo momento quién dispone de esos datos personales y a qué uso los está sometiendo, y, por otro lado, el poder oponerse a esa posesión y usos.” En sintonía con esta doctrina constitucional, la sentencia de la Audiencia Nacional de 2 de febrero de 2005, entre otras, dice lo siguiente: “El derecho fundamental a la protección de datos persigue, en suma, garantizar a la persona un poder de control sobre sus datos personales, sobre su uso y destino; o dicho de otro modo, del derecho a la intimidad permite excluir ciertos datos personales del conocimiento ajeno; mientras que el derecho a la protección de datos garantiza a los individuos un poder de disposición sobre esos datos. Por lo tanto, el objeto de la protección de datos- de aquí su singularidad- es más amplio que el objeto de la intimidad, pues entre otras cosas, y en lo que ahora nos interesa tiene como contenidos esencial del mismo, el conferir a la persona afectada el poder jurídico de imponer a terceros el deber de abstenerse de toda intromisión en la esfera intimad de la persona y la prohibición de usar de los datos a ella referente: El mismo atribuye a su titular un conjunto de poderes o facultades que se traducen en auténticos deberes para aquellos que utilizan los datos, y que son, esencialmente: el derecho a que se requiera el consentimiento para la recogida y uso de datos personales; el derecho a saber y ser informado sobre el destino y uso de los mismos; y el derecho acceder, rectificar y cancelar dichos datos. Pues solo así se puede garantizar el poder de disposición sobre los datos personales”. 17 En la Sentencia 290/2000 30 de noviembre. (BOE núm. 4 de 4 de enero de 2001). LA LEY-LEG. 17/2001. Y en la Sentencia 292/2000 de 30 de noviembre. 18 Artículo 18.1 de la CE: “Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen.”. © MARíA ARIAS POU 7 LAS ENTIDADES LOCALES COMO GARANTES DE LA PROTECCIÓN DE DATOS EN LA PRESTACIÓN DE SERVICIOS DE ADMINISTRACIÓN ELECTRÓNICA Por su parte, la primera ley de protección de datos española, a la que ya hemos hecho referencia, la LORTAD, describió en su Exposición de Motivos la privacidad como un conjunto, más amplio y más global que la intimidad que se refiere a facetas de la personalidad que, aisladamente consideradas, pueden carecer de significación intrínseca pero que, coherentemente enlazadas entre sí, arrojan como precipitado un retrato de la personalidad del individuo que éste tiene derecho a mantener reservado. Y añadía que toda esta información utilizada con medios informáticos implica un riesgo para la persona titular de la misma que debe ser protegida. La Agencia Española de Protección de Datos describe el derecho a la protección de datos en su Guía del Derecho Fundamental a la Protección de Datos de Carácter Personal19 como: “El derecho fundamental a la protección de datos reconoce al ciudadano la facultad de controlar sus datos personales y la capacidad para disponer y decidir sobre los mismos.” 4. CONCEPTOS BÁSICOS El artículo 3 de la LOPD recoge un conjunto de definiciones que transcribimos a continuación porque entendemos que sirven para terminar de situarnos en la materia y conocer qué significado tiene cada término en materia de protección de datos. Este artículo 3 está desarrollado reglamentariamente por el artículo 5 del RDLOPD que dedica su apartado primero a las definiciones generales en la materia y el apartado segundo a definir conceptos básicos en materia de seguridad de datos. Estas definiciones las vamos a agrupar en tres bloques referidos el primero de ellos al objeto de protección, el segundo al sujeto protegido y el tercero al sujeto obligado. 4.1. Objeto de protección Dentro de este grupo de conceptos, queremos referirnos a qué se entiende por dato de carácter personal, qué son los ficheros que los agrupan y ordenan y los tratamientos que se pueden realizar de estos datos y que quedan sujetos a la normativa que analizamos. Además, añadiremos otros conceptos que nos van a servir para después analizar los principios de actuación en materia de protección de datos como son el procedimiento de disociación o las fuentes accesibles al público. Datos de carácter personal “cualquier información concerniente a personas físicas identificadas o identificables.” Ya hemos hecho referencia a este concepto cuando hemos tratado el objeto de la protección de datos. Ahora, queremos avanzar un poco más y definir qué debemos 19 Guía del Derecho Fundamental a la Protección de Datos que se puede encontrar en https://www.agpd.es/upload/FOLLETO.PDF. © MARíA ARIAS POU 8 LAS ENTIDADES LOCALES COMO GARANTES DE LA PROTECCIÓN DE DATOS EN LA PRESTACIÓN DE SERVICIOS DE ADMINISTRACIÓN ELECTRÓNICA entender por personas físicas identificadas o identificables. El RDLOPD20 se refiere a ellas como: “toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social. Una persona física no se considerará identificable si dicha identificación requiere plazos o actividades desproporcionados.” Es importante no caer en el frecuente error de considerar, por ejemplo, que si realizo una encuesta a través de la página web a los abonados a la misma, y sólo les pido el número de abonado o el número de su DNI, no estoy recogiendo datos de carácter personal. Es decir, toda información que nos permita identificar directamente o hacer identificable al titular de los datos, es una información que debo proteger con todas las garantías que establece la LOPD. Fichero En segundo lugar, nos referiremos a los ficheros, definidos por la LOPD como: “todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.” Por su parte, el RDLOPD añade a esta definición que el fichero será ese conjunto organizado de datos de carácter personal que permita el acceso a los datos con arreglo a criterios determinados21. Además, introduce como novedades la definición de qué debemos entender por ficheros de titularidad privada y pública y por fichero automatizado. Así dispone, en su apartado l): Son ficheros de titularidad privada, los ficheros de los que sean responsables las personas, empresas o entidades de derecho privado, con independencia de quien ostente la titularidad de su capital o de la procedencia de sus recursos económicos, y añade, a los efectos que nos ocupan, que también se consideran ficheros de titularidad privada “los ficheros de los que sean responsables las corporaciones de derecho público, en cuanto dichos ficheros no se encuentren estrictamente vinculados al ejercicio de potestades de derecho público que a las mismas atribuye su normativa específica.” Por su parte, la letra m) define los ficheros de titularidad pública como los ficheros de los que sean responsables los órganos constitucionales o con relevancia constitucional del Estado o las instituciones autonómicas con funciones análogas a los mismos, las Administraciones públicas territoriales, así como las entidades u organismos vinculados o dependientes de las mismas y las Corporaciones de derecho público siempre que su finalidad sea el ejercicio de potestades de derecho público. La conclusión a la que nos lleva esta definición es a que son dos los requisitos que deben concurrir para que un fichero pueda considerarse de titularidad pública, de un lado, que el sujeto sea un órgano de la Administración Pública, y, de otro lado, que se cree para el cumplimiento de funciones públicas. 20 21 En su artículo 5.1. o). Así lo dispone el artículo 5.1. k). © MARíA ARIAS POU 9 LAS ENTIDADES LOCALES COMO GARANTES DE LA PROTECCIÓN DE DATOS EN LA PRESTACIÓN DE SERVICIOS DE ADMINISTRACIÓN ELECTRÓNICA A efectos prácticos, el hecho de ser un fichero de titularidad pública implica, como principales particularidades, que debe ser creado por una disposición de carácter general, que debe ser inscrito en el Registro de Protección de Datos de la Autoridad de Control autonómica, cuando ésta exista y que será sometido al régimen sancionador de las Administraciones Públicas. Otra novedad importante que introduce el RDLOPD es el de la definición de fichero no automatizado. La LOPD, desde su entrada en vigor, resulta aplicable a los tratamientos o ficheros automatizados o no automatizados, sin embargo, la falta de desarrollo reglamentario a la que hemos hecho referencia, ha traído consigo que hasta la aprobación del RDLOPD se planteasen dudas sobre cómo aplicar la normativa a estos tratamientos de datos. Dicho esto, señalar que la letra n) del RDLOPD dispone que un fichero no automatizado o manual es: “todo conjunto de datos de carácter personal organizado de forma no automatizada y estructurado conforme a criterios específicos relativos a personas físicas, que permitan acceder sin esfuerzos desproporcionados a sus datos personales, ya sea aquél centralizado, descentralizado o repartido de forma funcional o geográfica.” Tendremos un fichero de datos de carácter personal siempre que tengamos una información personal organizada conforme a un criterio mediante el cual tengamos localizada y ordenada la información que almacenamos. Independientemente de que este fichero sea de titularidad pública o privada, e independientemente de que su tratamiento sea automatizado o manual. De este modo, será un fichero de datos de carácter personal el de que se formará con la información personal que recogemos de un formulario de contacto que tenemos en nuestra página web a través del que los usuarios pueden realizarnos consultas. Tratamiento de datos “operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.” Por su parte, el RDLOPD define el tratamiento de datos, en su artículo 5.1. t)22, como cualquier operación o procedimiento técnico, sea o no automatizado, que permita la recogida, grabación, conservación, elaboración, modificación, consulta, utilización, cancelación, bloqueo o supresión, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias. Tratamiento de datos es, por tanto, cualquier operación o procedimiento que se lleve a cabo con los datos de carácter personal. Con independencia de que éstos sean automatizados o no automatizados, es decir, manuales y siempre que permitan la: 22 Señalamos en cursiva los conceptos añadidos como novedad por el RDLOPD con el fin de llamar la atención sobre ellos y comentarlos de manera especial. © MARíA ARIAS POU 10 LAS ENTIDADES LOCALES COMO GARANTES DE LA PROTECCIÓN DE DATOS EN LA PRESTACIÓN DE SERVICIOS DE ADMINISTRACIÓN ELECTRÓNICA - - - - - - - recogida, es importante tener presente que la mera recogida de los datos ya es tratamiento y queda, por tanto, sujeto al ámbito de protección que ofrece la LOPD y su normativa de desarrollo; grabación, de los datos, siendo, en este punto, un ejemplo muy claro el de la captura de imágenes por cámaras de videovigilancia, que también es tratamiento; conservación, los datos pueden ser recogidos y conservados durante un tiempo determinado, la mera conservación, a pesar de que nos pueda parecer que no es tratamiento, está sometida por la LOPD a sus exigencias; elaboración, por ejemplo, en los tratamientos con fines de publicidad, la elaboración de los datos ocurre con más frecuencia que en cualquier otro sector, es importante ser conscientes de que esto también es tratamiento; consulta, este término, incluido como novedad en el Reglamento, en nuestra opinión, persigue insistir en el hecho de que la mera consulta de datos de carácter personal ya es tratamiento. Este punto es especialmente relevante, si permitimos la consulta de los datos que tenemos archivados en nuestros equipos informáticos o en los soportes manuales a un tercero, por ejemplo, estamos permitiendo un tratamiento de esos datos por un tercero, o lo que es lo mismo, una cesión o comunicación de datos; utilización, también aclara el Reglamento, que la utilización de los datos es tratamiento, a nuestro modo de ver, tiene menos implicaciones que la incorporación anterior, pero es importante ser conscientes de ella; modificación, cualquier variación en los datos implica un tratamiento de los mimos; y cancelación, bloqueo o supresión, en materia de protección de datos los términos de cancelación, bloqueo o supresión, tienen su propio significado, sin perjuicio de que volvamos sobre ello más adelante, recogemos a continuación la definición que ofrece el artículo 5.1 b) del Reglamento sobre la cancelación, dice así, “Procedimiento en virtud del cual el responsable cesa en el uso de los datos. La cancelación implicará el bloqueo de los datos, consistente en la identificación y reserva de los mismos con el fin de impedir su tratamiento excepto para su puesta a disposición de las Administraciones públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento y sólo durante el plazo de prescripción de dichas responsabilidades. Transcurrido ese plazo deberá procederse a la supresión de los datos.” La conclusión a la que llegamos analizando esta definición es la de que tratamiento es todo, es decir, en la LOPD quedan incluidos los tratamientos automatizados y los que no los son, y se entiende que prácticamente cualquier operación que se haga con datos de carácter personal es un tratamiento. Tratamiento es así, la recogida de datos a través de formularios de la web, mediante el empleo de cookies en la navegación, por el registro de usuarios de una web o por la suscripción a un boletín electrónico. Tratamiento es el envío de boletines electrónicos de noticias del municipio a los vecinos suscriptores a ellos, y tantos otros que realizamos por medios electrónicos y no electrónicos. Procedimiento de disociación © MARíA ARIAS POU 11 LAS ENTIDADES LOCALES COMO GARANTES DE LA PROTECCIÓN DE DATOS EN LA PRESTACIÓN DE SERVICIOS DE ADMINISTRACIÓN ELECTRÓNICA “todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable.” Esto resulta muy útil para aquellas páginas web a través de las que se realizan encuestas, por ejemplo, y luego la información es tratada de forma anónima para sacar estadísticas y conclusiones de la encuesta, pero sin estar estas conclusiones asociadas al vecino que ha proporcionado esa información rellenando la encuesta. Fuentes accesibles al público “aquellos ficheros cuya consulta puede ser realizada por cualquier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación. Tienen consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público, los diarios y boletines oficiales y los medios de comunicación.” Existen determinadas fuentes de información que contienen datos de carácter personal que han sido reconocidas por la LOPD de forma taxativa como fuentes de “libre disposición” de datos. Esto no obsta para que surjan determinadas obligaciones para el uso de esa información. Por su parte, el artículo 7 del Reglamento desarrolla este concepto disponiendo que “A efectos del artículo 3, párrafo j) de la Ley Orgánica 15/1999, se entenderá que sólo tendrán el carácter de fuentes accesibles al público: a) El censo promocional, regulado conforme a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre. b) Las guías de servicios de comunicaciones electrónicas, en los términos previstos por su normativa específica. c) Las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección profesional e indicación de su pertenencia al grupo. La dirección profesional podrá incluir los datos del domicilio postal completo, número telefónico, número de fax y dirección electrónica. En el caso de Colegios profesionales, podrán indicarse como datos de pertenencia al grupo los de número de colegiado, fecha de incorporación y situación de ejercicio profesional. d) Los diarios y boletines oficiales. e) Los medios de comunicación social. 2. En todo caso, para que los supuestos enumerados en el apartado anterior puedan ser considerados fuentes accesibles al público, será preciso que su consulta pueda ser realizada por cualquier persona, no impedida por una norma limitativa, o sin más exigencia que, en su caso, el abono de una contraprestación.” Por ahora, lo que queremos dejar claro es que existen determinadas fuentes de datos que se consideran como accesibles al público, esto es, de las que los responsables de los © MARíA ARIAS POU 12 LAS ENTIDADES LOCALES COMO GARANTES DE LA PROTECCIÓN DE DATOS EN LA PRESTACIÓN DE SERVICIOS DE ADMINISTRACIÓN ELECTRÓNICA ficheros pueden nutrirse de datos sin necesidad de consentimiento previo del titular, cumpliendo, eso sí, determinados requisitos en su posterior tratamiento y cesión de esos datos. Que la lista de estas fuentes es numerus clausus, es decir, que son las que se enumeran y ninguna más. Y que serán consideradas como fuentes accesibles al público, las que se enumeran, siempre que su consulta pueda ser realizada por cualquier persona no impedida por una norma limitativa, o, en su caso, con el abono de una contraprestación. 4.2. Sujeto protegido: Afectado o interesado El sujeto protegido en materia de protección de datos, como ya hemos tenido ocasión de señalar, es la persona física titular de los datos que sean objeto del tratamiento. De este modo, y como deriva necesariamente de la naturaleza de derecho fundamental que hemos predicado del derecho a la protección de datos, las personas jurídicas quedan fuera del ámbito subjetivo de aplicación de la normativa que analizamos. En este sentido, el RDLOPD matiza estas excepciones y señala, en su artículo 2 que la normativa sobre protección de datos no será aplicable a los tratamientos de datos referidos a personas jurídicas, ni a los ficheros que se limiten a incorporar los datos de las personas físicas que presten sus servicios en aquéllas, consistentes únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales. También quedan fuera del ámbito de aplicación de esta normativa los datos relativos a empresarios individuales, cuando hagan referencia a ellos en su calidad de comerciantes, industriales o navieros y los datos referidos a personas fallecidas, sin perjuicio, en este último caso de que las personas vinculadas al fallecido, por razones familiares o análogas, puedan dirigirse a los responsables de los ficheros o tratamientos que contengan datos de éste con la finalidad de notificar el óbito, aportando acreditación suficiente del mismo, y solicitar, cuando hubiere lugar a ello, la cancelación de los datos. La inclusión de estas excepciones fue muy polémica y la Agencia Española de Protección de Datos, AEPD, ha emitido varios informes23 exponiendo su interpretación a estos preceptos. A continuación resumimos las principales conclusiones a este respecto: En relación con el tratamiento de datos de los empresarios individuales, la AEPD concluye que cabrá considerar que la legislación de protección de datos no es aplicable a los empresarios individuales en los supuestos en los que sus datos sean sometidos a tratamiento haciendo referencia únicamente al mismo en su condición de comerciante, industrial o naviero; es decir, en relación con su actividad empresarial. Esto es, el uso de los datos deberá quedar limitado a las actividades empresariales; es decir, el sujeto respecto del que pretende llevarse a cabo el tratamiento es la empresa constituida por el comerciante industrial o naviero y no el empresario mismo que la hubiese constituido. Por el contrario, si la utilización de dichos datos se produjera en relación con un ámbito distinto quedaría plenamente sometida a las disposiciones de la LOPD. 23 Entre otros, los Informes 0078/2008 y 0234/2008 que se pueden consultar en el apartado de “Documentación” de la página web de la AEPD www.agpd.es © MARíA ARIAS POU 13 LAS ENTIDADES LOCALES COMO GARANTES DE LA PROTECCIÓN DE DATOS EN LA PRESTACIÓN DE SERVICIOS DE ADMINISTRACIÓN ELECTRÓNICA Por su parte, en relación con el tratamiento de datos de las personas de contacto, es necesario que el tratamiento del dato de la persona de contacto sea accesorio en relación con la finalidad perseguida. Esto se materializará mediante el cumplimiento de dos requisitos, en primer lugar, que los datos tratados se limiten efectivamente a los meramente necesarios para identificar al sujeto en la persona jurídica a la que presta sus servicios. Por este motivo, el Reglamento impone que el tratamiento se limite a los datos de nombre y apellidos, funciones o puestos desempeñados, dirección postal o electrónica, teléfono y número de fax profesionales. En segundo lugar, que la finalidad que justifica el tratamiento de esos datos de contacto sea meramente accidental o incidental respecto de la verdadera finalidad perseguida por el tratamiento, que ha de residenciarse no en el sujeto, sino en la entidad en la que éste preste sus servicios. 4.3. Sujetos obligados: Responsable del fichero y encargado del tratamiento En materia de protección de datos encontramos dos posibles sujetos obligados al cumplimiento de esta normativa, y en el entorno electrónico, la distinción de las dos figuras y el contenido de las obligaciones de cada una de ellas en la materia resulta especialmente relevante. Veamos cada una de ellas. Responsable del fichero o tratamiento El sujeto obligado es denominado por la LOPD como responsable del fichero o del tratamiento y definido24 como: “persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.” Por su parte, el RDLOPD lo define25 como: “Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que sólo o conjuntamente con otros decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente. Podrán ser también responsables del fichero o del tratamiento los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados.” El acento en esta definición lo debemos poner en la palabra “decida”, la clave está aquí, será responsable del fichero quien decida qué datos van a formar el fichero, para qué se van a utilizar y qué tratamientos se van a realizar de los mismos. Por su parte, el RDLOPD añade a esta definición que se considerará como responsable del fichero “aunque no lo realizase materialmente”, es decir, que el responsable lo será porque decide, con independencia de que realice o no directa y materialmente el tratamiento de los datos. Esta aclaración que realiza el RDLOPD, nos permite comprender que hay otros sujetos que pueden intervenir en el tratamiento y que no tienen la consideración de responsables, se trata del encargado del tratamiento, que trata los datos para prestar un servicio a un responsable del fichero y que está igualmente obligado a observar las 24 25 En el artículo 3 d) de la LOPD. Definición recogida en el artículo 5.1. q) del RDLOPD. © MARíA ARIAS POU 14 LAS ENTIDADES LOCALES COMO GARANTES DE LA PROTECCIÓN DE DATOS EN LA PRESTACIÓN DE SERVICIOS DE ADMINISTRACIÓN ELECTRÓNICA exigencias de la LOPD en la medida en que le resultan aplicables. A diferencia del responsable del fichero no decide la creación del fichero de datos pero interviene en su tratamiento para prestar un servicio al responsable del fichero, quedando sujeto a observar las exigencias derivadas de la LOPD. El encargado del tratamiento es definido por la LOPD como “la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento.” Por su parte, el RDLOPD, se refiere a él como “La persona física o jurídica, pública o privada, u órgano administrativo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio. Podrán ser también encargados del tratamiento los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados.” En el ámbito electrónico nos encontramos con muchos casos de encargados del tratamiento. Resulta fácil, poner ejemplos para comprender esta figura, pensando en los prestadores de servicios de intermediación, como los que se dedican a alojar las páginas web de otros o a gestionar las cuentas de correo electrónico asociadas a una página web. La importancia de definir y tener presente esta figura deriva de su relación con el contrato de prestación de servicios que, como expondremos después al tratar del acceso a los datos por terceros, debe firmarse entre el responsable del fichero y el encargado del tratamiento. Una Entidad Local, como responsable del fichero, esto es, según lo que venimos diciendo, como la persona jurídica, de naturaleza pública que decide sobre la finalidad, contenido y uso del tratamiento que se realiza de los datos personales, está obligado a garantizar la protección de los datos personales y para ello, debe cumplir las exigencias legales que exponemos a continuación. 5. OBLIGACIONES EN MATERIA DE PROTECCIÓN DE DATOS Las obligaciones que surgen en materia de protección de datos y que vamos a proceder a desarrollar en el presente epígrafe, resultan exigibles para los dos sujetos que pueden actuar en el tratamiento de los datos, el responsable del fichero y el encargado del tratamiento. Si bien esto es así, con carácter general, las obligaciones relativas a la inscripción de los ficheros y a la atención de derechos recaen en el responsable del fichero, sin perjuicio de que éste pueda pactar con el encargado del tratamiento que sea este segundo quien proceda a la inscripción del fichero objeto de tratamiento, o a la atención del ejercicio de los derechos por los titulares de los datos. Las obligaciones que derivan del tratamiento de datos de carácter personal, se pueden resumir en las siguientes: - Inscribir los ficheros en el Registro General de Protección de Datos (RGPD) de la Agencia Española de Protección de Datos (AEPD) cuando en la Comunidad Autónoma © MARíA ARIAS POU 15 LAS ENTIDADES LOCALES COMO GARANTES DE LA PROTECCIÓN DE DATOS EN LA PRESTACIÓN DE SERVICIOS DE ADMINISTRACIÓN ELECTRÓNICA a la que pertenezca la Entidad Local no se haya creado la Agencia de Protección de Datos Autonómica competente, como es el caso de Madrid, Cataluña o País Vasco. - Adoptar las medidas de seguridad necesarias para garantizar la protección de los datos atendiendo a lo previsto en el Reglamento de desarrollo de la LOPD que exige como primera medida de seguridad la elaboración de un documento de seguridad que refleje las medidas concretas de seguridad con las que la Entidad Local ha adoptado para proteger los datos. - Realizar un tratamiento leal y legal de los datos cumpliendo todos los principios de actuación previstos en la LOPD, referentes a la calidad de los datos, la información debida al titular, el consentimiento de éste como regla general para el tratamiento, la existencia de datos que requieren una especial protección, la seguridad de los datos referida y las relaciones con terceros en las que estén implicados tratamientos de datos, ya se trate de cesiones o comunicaciones de datos o de accesos a datos por cuenta de terceros. - Por último, la obligación de atender y dar respuesta, en tiempo y forma, al ejercicio de los derechos de los titulares de los datos, derechos de acceso, rectificación, cancelación y oposición. Veamos detenidamente cada una de estas obligaciones, teniendo como punto de partida el hecho de que vamos a centrar este análisis en la prestación de servicios de Administración electrónica a través de Internet. 5.1. Inscribir los ficheros en el Registro General de Protección de Datos La primera obligación que hemos descrito es la de la inscripción de los ficheros. Los ficheros de los que es responsable una entidad local en el desarrollo de sus funciones públicas, tienen el carácter de ficheros de titularidad pública y requieren del cumplimiento de unas formalidades en su creación y de la notificación de la creación, modificación o supresión, bien al Registro General de Protección de Datos de la Agencia Española de Protección de Datos, bien al Registro de Protección de Datos de la Agencia Autonómica competente en el territorio donde preste sus servicios la entidad local. Como paso previo a la inscripción de los ficheros, una entidad debe definir y determinar los ficheros de los que es responsable y para ello debe analizar las categorías de datos de carácter personal que necesita en el desarrollo de sus funciones, las finalidades para las que va a utilizar esa información o los terceros a los que va a ceder esos datos, entre otros aspectos a los que nos referiremos después. En concreto, en el ámbito del portal web de la entidad local puede surgir la creación de determinados ficheros de datos de carácter personal que deben ser declarados al Registro. En este sentido, podemos determinar como ficheros, entre otros, por ejemplo, los ficheros de recaudación de cada uno de los impuestos de los que un ayuntamiento es competente para recaudar, o, en segundo lugar, el fichero de Padrón Municipal de Habitantes, el de Bolsa de empleo, en su caso, servicios culturales, siempre, claro está, cuando ofrezca estos servicios a través de medios electrónicos y con independencia de que estos ficheros se alimenten de datos que sean recogidos de forma tradicional a © MARíA ARIAS POU 16 LAS ENTIDADES LOCALES COMO GARANTES DE LA PROTECCIÓN DE DATOS EN LA PRESTACIÓN DE SERVICIOS DE ADMINISTRACIÓN ELECTRÓNICA través de los formularios en soporte papel que los vecinos puedan completar en la sede del ayuntamiento o no. La determinación de los ficheros, en materia de protección de datos, se realiza por la finalidad que persigue el tratamiento, de forma que no depende de que el fichero de datos se alimente de información que proceda de distintas vías como la electrónica, la presencial, etc. En este sentido, y por tratar de explicar un poco mejor esta idea, el fichero de Padrón Municipal, estará integrado por las altas que tengan lugar a través de la página web y las que lo hagan a través del medio tradicional de inscripción a través de formulario cumplimentado en el propio ayuntamiento. Conforme al artículo 20 de la LOPD, la creación, modificación o supresión de los ficheros de las Administraciones públicas sólo podrán hacerse por medio de disposición general publicada en el Boletín Oficial del Estado o Diario oficial correspondiente. Como ya hemos indicado, en el caso de una entidad local, la disposición de carácter general que debe ser aprobada para la creación, modificación o supresión de ficheros será, en la mayoría de los casos, una ordenanza municipal. La Agencia de Protección de Datos de la Comunidad de Madrid26 lo expone así: “… el ayuntamiento elabora un proyecto de ordenanza que regule la creación, modificación o supresión de ficheros de datos de carácter personales. Es importante destacar que no puede utilizarse un “acuerdo”, bien sea del pleno o de la comisión de gobierno del ayuntamiento, puesto que es imprescindible que la regulación de ficheros de datos personales se realice en una disposición de carácter general, como es la “ordenanza” municipal.” La LOPD en su artículo 20, define también cual debe ser el contenido de la disposición de carácter general, que deberá hacer referencia a: a) La finalidad del fichero y los usos previstos para el mismo. b) Las personas o colectivos sobre los que se pretenda obtener datos de carácter personal o que resulten obligados a suministrarlos. c) El procedimiento de recogida de los datos de carácter personal. d) La estructura básica del fichero y la descripción de los tipos de datos de carácter personal incluidos en el mismo. e) Las cesiones de datos de carácter personal y, en su caso, las transferencias de datos que se prevean a países terceros. f) Los órganos de las Administraciones responsables del fichero. g) Los servicios o unidades ante los que pudiesen ejercitarse los derechos de acceso, rectificación, cancelación y oposición. h) Las medidas de seguridad con indicación del nivel básico, medio o alto exigible. De esta forma y resumidamente, concluiremos esta obligación de inscribir los ficheros de titularizad pública de una entidad local diciendo que primero deberá elaborarse un borrador de disposición de carácter general que cree, modifique o suprima los ficheros 26 En su obra Guía de protección de datos personales para Ayuntamientos, Aranzadi, 2004, Págs. 78 a 80. Obra que actualmente debe ser completada con la obra “Protección de datos personales para Administraciones Locales” Thomson. Civitas. Madrid 2008. © MARíA ARIAS POU 17 LAS ENTIDADES LOCALES COMO GARANTES DE LA PROTECCIÓN DE DATOS EN LA PRESTACIÓN DE SERVICIOS DE ADMINISTRACIÓN ELECTRÓNICA de titularidad pública de que se trate, someter este borrador de ordenanza a trámite de alegaciones mediante su publicación y disposición al público. A continuación se procederá, según el trámite establecido por la Agencia de Protección de Datos competente, bien a aprobar la ordenanza y remitirla, junto con las alegaciones y los formularios de inscripción de cada fichero cumplimentados, al Director de la Agencia de Protección de Datos, para que dicte informe preceptivo y se pueda proceder así a la publicación de la ordenanza en el Boletín Oficial correspondiente y remitir a la Agencia de Protección de Datos competente la documentación requerida para proceder a la inscripción de la creación, modificación o, en su caso, supresión de los ficheros, bien publicar la ordenanza en el Boletín Oficial y remitir los formularios de inscripción y la referencia de la publicación de la ordenanza en el Boletín a la Agencia para proceder a la inscripción de la creación, modificación o, en su caso, supresión de los ficheros. Haciendo referencia expresa a los servicios de administración electrónica y en relación con el cumplimiento de esta primera obligación de inscribir los ficheros, señalar cómo el 1 de septiembre de 2006 la Agencia Española de Protección de Datos puso en marcha el primero de sus servicios de esta índole que es el Sistema de Notificaciones Telemáticas a la Agencia, a través de programa NOTA, que permite realizar las notificaciones de creación, modificación o supresión de los ficheros por vía telemática utilizando la firma electrónica. La creación de este registro telemático correspondió a la Resolución de 12 de julio de 200627 a la que acompaña otra resolución de igual fecha28 por la que se aprueban los formularios electrónicos de inscripción de ficheros La presentación de las solicitudes de inscripción de ficheros se venía realizando hasta entonces a través de los formularios creados por la Resolución de 30 de mayo de 200029, que permitían la solicitud a través del propio cuestionario en soporte papel, o a través de Internet enviando la hoja de solicitud firmada por fax. Con el programa NOTA, a estas dos formas de presentación de las solicitudes de inscripción, se une la posibilidad de presentarlas de forma telemática usando la firma electrónica. Respecto de las principales novedades que introduce este sistema de notificación, destacar, además de, claro está, la posibilidad de utilizar la firma electrónica en este trámite de inscripción de ficheros, la simplificación de los formularios de inscripción incluyendo la opción de formularios tipo que facilitan la determinación de los ficheros de los que se es responsable. Actualmente, la última versión disponible del formulario NOTA data de fecha 16 de abril de 2009 y entre los formularios tipo recoge los referentes a los ficheros de Agenda, Control de acceso, Gestión económica, Nóminas, Padrón o Registro. 27 Resolución de 12 de julio de 2006, de la Agencia Española de Protección de Datos, por la que se crea el Registro Telemático de la Agencia Española de Protección de Datos. (BOE núm. 181, de 31 de julio). 28 Resolución de 12 de julio de 2006, de la Agencia Española de Protección de Datos, por la que se aprueban los formularios electrónicos a través de los que deberán efectuarse las solicitudes de inscripción de ficheros en el Registro General de Protección de Datos, así como los formatos y requerimientos a los que deben ajustarse las notificaciones remitidas en soporte informático o telemático. (BOE núm. 181, de 31 de julio). 29 Resolución de 30 de mayo de 2000, de la Agencia Española de Protección de Datos, por la que se aprueban los modelos normalizados en soporte papel, magnético y telemático, a través de los que deberán efectuarse las solicitudes de inscripción en el Registro General de Protección de Datos. (BOE núm. 153, de 27 de junio). © MARíA ARIAS POU 18 LAS ENTIDADES LOCALES COMO GARANTES DE LA PROTECCIÓN DE DATOS EN LA PRESTACIÓN DE SERVICIOS DE ADMINISTRACIÓN ELECTRÓNICA 5.2. Garantizar la seguridad de los datos La inscripción de los ficheros representa la primera obligación de todo responsable del fichero, pero, a diferencia de lo que muchos creen, no es la única obligación que surge del tratamiento de datos de carácter personal. En el entorno electrónico, que es en el que nos estamos centrando, deberemos hacer una tarea previa de determinación de los ficheros de datos de carácter personal que vamos a crear para desarrollar nuestros servicios on line, pero a la vez surgen otras obligaciones como la referente a la de garantizar la seguridad de los datos de carácter personal que componen nuestros ficheros, que es la que pasamos a examinar. Esta segunda obligación, hace referencia a la necesidad de adoptar unas medidas de seguridad que nos permitan garantizar la seguridad de los datos personales que tratamos. El artículo 9 de la LOPD30 recoge esta obligación de adoptar las medidas de índole técnica y organizativas que garanticen la seguridad de los datos. La finalidad de estas medidas de seguridad es la de proteger los datos de alteraciones, pérdidas, tratamientos o accesos no autorizados. Los criterios conforme a los que deberán adoptarse las medidas de seguridad necesarias dependerán principalmente del estado de la tecnología, la naturaleza de los datos y los riesgos a que están expuestos. Las medidas de seguridad recomendadas como mínimos a cumplir, se recogen, en el RDLOPD, en los artículos 79 a 114. A este desarrollo reglamentario se refieren los apartados dos y tres del artículo 9 haciendo referencia a que las medidas de seguridad que se determinen reglamentariamente harán referencia a la integridad y seguridad de los datos y a los centros de tratamiento, locales, equipos, sistemas y programas. Y además, a los requisitos y condiciones que deban reunir los ficheros en los que se almacenen los datos y las personas que intervengan en el tratamiento de los datos. Del Reglamento vigente, y a efectos prácticos, lo que interesa conocer es lo siguiente: - Reglamento de mínimos: las medidas de seguridad descritas en el Reglamento, como hemos indicado, son medidas de seguridad mínimas, esto es cumpliendo el Reglamento se cumple con lo mínimo exigible. - Tres niveles de medidas de seguridad: se distinguen tres niveles de medidas de seguridad, básico, medio y alto, estos niveles no son compartimentos estancos sino que el nivel superior exige cumplir con las medidas concretas del nivel que se trate y además las medidas de seguridad correspondientes al nivel o a los niveles inferiores de medidas de seguridad. Esto es, las medidas de seguridad son acumulativas, el nivel medio exige cumplir con las medidas de seguridad de nivel básico y además con las de 30 Artículo 9 LOPD: Seguridad de los datos. “1. El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural. 2. No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas. 3. Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros y las personas que intervengan en el tratamiento de los datos a que se refiere el artículo 7 de esta Ley.” © MARíA ARIAS POU 19 LAS ENTIDADES LOCALES COMO GARANTES DE LA PROTECCIÓN DE DATOS EN LA PRESTACIÓN DE SERVICIOS DE ADMINISTRACIÓN ELECTRÓNICA nivel medio, el nivel alto exige cumplir las medidas de nivel básico, las de nivel medio y las propias de nivel alto. Dicho esto, entremos a considerar los ficheros a los que resulta aplicable cada uno de los niveles de medidas de seguridad. El nivel básico de medidas de seguridad se aplica a todos los ficheros que reúnan datos de carácter personal. El nivel medio por su parte, se aplica a los siguientes ficheros: a) Los relativos a la comisión de infracciones administrativas o penales. b) Aquellos cuyo funcionamiento se rija por el artículo 29 de la LOPD. c) Aquellos de los que sean responsables Administraciones tributarias y se relacionen con el ejercicio de sus potestades tributarias. d) Aquéllos de los que sean responsables las entidades financieras para finalidades relacionadas con la prestación de servicios financieros. e) Aquéllos de los que sean responsables las Entidades Gestoras y Servicios Comunes de la Seguridad Social y se relacionen con el ejercicio de sus competencias. De igual modo, aquellos de los que sean responsables las mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social. f) Aquéllos que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos. En tercer lugar, el nivel alto de medidas de seguridad hace referencia a los ficheros que: a) refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual. b) contengan o se refieran a datos recabados para fines policiales sin consentimiento de las personas afectadas. c) contengan datos derivados de actos de violencia de género. - Ficheros automatizados y no automatizados: una de las principales y más esperadas novedades del RDLOPD es la regulación de las medidas de seguridad que deben ser aplicadas a los ficheros que están automatizados, en soporte electrónico, sea cual sea este, y además, a los que están en soporte manual o soporte papel. De este modo, los artículos 105 a 114 del RDLOPD hacen referencia a estas medidas de seguridad y se refieren, principalmente, a cuestiones como la del almacenamiento de la información, o las medidas de seguridad sobre la copia o reproducción de los documentos, el control que requiere el acceso a la documentación y el traslado de la misma. A efectos prácticos y como ya hemos indicado, esta segunda obligación del responsable de los ficheros, le obliga a elaborar, aprobar e implementar un documento de seguridad que refleje por escrito las medidas concretas de seguridad que la entidad local ha decidido adoptar para cumplir con las exigencias del Reglamento y garantizar así la seguridad de los datos de carácter personal que componen sus ficheros. Este documento de seguridad, de obligado cumplimento, debe ser conocido por todos los trabajadores de la entidad que en el desarrollo de sus funciones traten información de carácter personal. Además deberá mantenerse actualizado en todo momento de forma que responda así a la realidad de la entidad en este terreno. © MARíA ARIAS POU 20 LAS ENTIDADES LOCALES COMO GARANTES DE LA PROTECCIÓN DE DATOS EN LA PRESTACIÓN DE SERVICIOS DE ADMINISTRACIÓN ELECTRÓNICA En materia de seguridad de datos, la Recomendación 3/2008 dispone que con el objeto de una mejor aplicación de la normativa a los criterios de seguridad, se deberá prestar especial atención a las siguientes cuestiones: 1ª Los servicios de administración electrónica deberán garantizar la autenticidad, integridad y disponibilidad de los datos o documentos que sean objeto de tratamiento, como medida necesaria para crear la confianza del ciudadano en el uso de este tipo de servicios. 2ª Todos los servicios de administración electrónica que traten datos de carácter personal deberán contar con un sistema de identificación y autenticación que permita acreditar, de forma inequívoca, la identidad del interesado y la autenticidad de los datos o documentos aportados por este. A tal efecto, podrán utilizarse sistemas de firma electrónica avanzada, incluyendo los incorporados al documento nacional de identidad, u otros medios, como la introducción de una clave de acceso personalizada previamente asignada por la Administración, con su correspondiente contraseña, la aportación de información solo conocida por ambas partes, o mecanismos equivalentes. 3ª Los servicios de administración electrónica deberán implantar medidas específicas para llevar un completo control de los accesos realizados a los mismos, debiendo ser objeto de un completo y exhaustivo seguimiento por parte de los responsables de seguridad de los mismos, al objeto de detectar y solventar cualquier intento de acceso no autorizado a los mismos. 4ª Las medidas de seguridad exigibles a los accesos a datos de carácter personal a través de redes de comunicaciones, sean o no públicas, deberán garantizar un nivel de seguridad equivalente al correspondiente a los accesos en modo local. 5.3. Principios de actuación para un tratamiento legal de los datos Ya hemos indicado cómo la LOPD nos proporciona las pautas de actuación en la recogida, tratamiento y uso o cesión o comunicación de datos de carácter personal para realizar un tratamiento legal de los datos. Estas pautas de actuación son los principios de la protección de datos recogidos en los artículos 4 a 12 de la LOPD que forman el Título II de la Ley. Principio de calidad de los datos Conforme al artículo 4 de la LOPD, el principio de calidad de los datos implica que los éstos deben ser adecuados, pertinentes y no excesivos en relación con la finalidad del tratamiento que se va a realizar con ellos, además se exige que los datos sean exactos y estén actualizados. Una primera pauta de actuación, marcada por el principio de calidad, la encontramos en los datos que podemos o no recoger y almacenar en nuestras bases de datos, deberán ser los datos que necesitemos para cumplir la finalidad concreta del tratamiento, ninguno más. © MARíA ARIAS POU 21 LAS ENTIDADES LOCALES COMO GARANTES DE LA PROTECCIÓN DE DATOS EN LA PRESTACIÓN DE SERVICIOS DE ADMINISTRACIÓN ELECTRÓNICA La segunda pauta, que deriva de la calidad de los datos, es la referente a usar los datos única y exclusivamente para la finalidad para la que los hemos recogido. No podemos utilizar los datos para otra finalidad y menos para una finalidad incompatible con ella. Además, una vez recogidos los datos tenemos legitimidad para guardarlos durante el tiempo necesario para cumplir la finalidad concreta de su recogida, ahora bien, debemos preocuparnos porque estos datos sigan respondiendo a la realidad y sean datos exactos y puestos al día. De este modo, el responsable del fichero debe poner todos los medios necesarios para que los datos que figuren en sus ficheros no resulten inexactos o incompletos y en el caso de que esto suceda, deberá proceder de forma automática a su corrección o cancelación según el caso. La cancelación de los datos tiene su propio significado en materia de protección de datos, ya nos hemos referido a ella, no implica el borrado físico de los datos directamente, sino que da lugar a un bloqueo de los datos conservándose únicamente a disposición de las Administraciones Públicas, Jueces y Tribunales para la atención de las posibles responsabilidades nacidas del tratamiento de los datos, durante el plazo de prescripción de las acciones que corresponda. Transcurrido este plazo, podrá procederse al borrado físico de los datos. Las últimas exigencias del principio de calidad son las de guardar los datos de forma que se pueda ejercitar el derecho de acceso a los datos que la LOPD reconoce a los titulares de los datos y que no se proceda a la recogida de datos por medios fraudulentos, desleales o ilícitos. A este respecto, la LAECSP establece en su artículo 4.g) el principio de proporcionalidad en el establecimiento de servicios de administración electrónica, en virtud del cual solo se requerirán a los ciudadanos aquellos datos que sean estrictamente necesarios en atención a la finalidad para la que se soliciten. Principio de información Si el principio de calidad nos delimita qué datos podemos o no recoger y almacenar en nuestras bases de datos, el principio de información determina cómo debemos proceder a obtener los datos, esto es, la información que debemos proporcionar al titular de los datos en el momento de la recogida de datos para que ésta sea legal. La información que exige la LOPD en su artículo 5 debe ser proporcionada de forma “expresa, precisa e inequívoca” al titular de los datos, pudiendo distinguir cuatro supuestos hipotéticos de procedencia de los datos: 1- recogida de la información directamente del interesado, en cuyo caso le proporcionaremos la información que vamos a examinar en la forma que mejor se adecue al procedimiento de recogida de datos: oralmente, por teléfono, a través de cuestionario o formulario en soporte papel o a través de nuestra web, etc.; 2- recogida de la información a través de un tercero: en este caso, debemos cumplir el deber de informar al titular de los datos dentro de los tres meses siguientes a la recogida de datos, siempre que no hubiera sido informado con anterioridad; © MARíA ARIAS POU 22 LAS ENTIDADES LOCALES COMO GARANTES DE LA PROTECCIÓN DE DATOS EN LA PRESTACIÓN DE SERVICIOS DE ADMINISTRACIÓN ELECTRÓNICA 3- recogida de datos por obligación legal, cuando el tratamiento tenga fines históricos, estadísticos o científicos, o cuando la información al interesado resulte imposible o exija esfuerzos desproporcionados, a criterio de la Agencia Española de Protección de Datos o del organismo autonómico equivalente, en consideración al número de interesados, a la antigüedad de los datos y a las posibles medidas compensatorias, y 4- recogida de datos de fuentes accesibles al público31 con fines de publicidad o prospección comercial, en este caso, se deberá proceder, en cada comunicación que se dirija al interesado, a informar del origen de los datos y de la identidad del responsable del tratamiento así como de los derechos que le asisten. La información exigida, con carácter general y que, como hemos indicado, se deberá proporcionar de manera expresa, precisa e inequívoca, debe hacer referencia a: - La existencia de un fichero o tratamiento de datos de carácter personal, la finalidad de la recogida de estos y los destinatarios de la información. - El carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas. - Las consecuencias de la obtención de los datos o de la negativa a suministrarlos. - La posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición. - La identidad y dirección del responsable del tratamiento o, en su caso, de su representante. Respecto de este deber de información del responsable del fichero, recogemos a continuación la opinión de la Agencia Española de Protección de Datos, manifestada en su Memoria Anual de 2003, en relación su cumplimiento en el ámbito de Internet: “Quizá uno de los incumplimientos más generalizados de la LOPD que se han detectado consiste en la incompleta información que se facilita al ciudadano en el momento de recabar sus datos personales. (…) Cuando la recogida de datos se realiza a través de Internet se ha verificado que tampoco siempre se suministra la mencionada información, a pesar de que esta vía es la que más posibilidades ofrece y la que resulta menos onerosa para el 31 Recordemos que son fuentes accesibles al público conforme al artículo 3 j) de la LOPD: “aquellos ficheros cuya consulta puede ser realizada por cualquier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación. Tienen la consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público, los diarios y boletines oficiales y los medios de comunicación.” © MARíA ARIAS POU 23 LAS ENTIDADES LOCALES COMO GARANTES DE LA PROTECCIÓN DE DATOS EN LA PRESTACIÓN DE SERVICIOS DE ADMINISTRACIÓN ELECTRÓNICA ciudadano. En este sentido, es preciso recordar que el apartado 2 del citado artículo 5 de la LOPD establece que «cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior». Por otra parte, son escasas las ocasiones en las que se informa (a través de las locuciones telefónicas, publicidad o Internet) de la posibilidad que tienen los participantes en estos eventos de ejercitar los derechos de acceso, rectificación, cancelación y oposición.”32 “1. De conformidad con lo establecido por el artículo 5 de la LOPD, los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco: a) de la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información; b) del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas; c) de las consecuencias de la obtención de los datos o de la negativa a suministrarlos; d) de la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición; e) de la identidad y dirección del responsable del tratamiento o, en su caso, de su representante. 2. Esta información deberá ser facilitada con carácter previo independientemente de la vía a través de la cual se recaben datos personales, ya sea a través de líneas telefónicas, mensajes SMS, correo postal, Internet o cualquier otra. Cuando el medio utilizado no permita el contacto simultáneo con el interesado en el momento en el que éste facilita sus datos, el responsable se asegurará de que se le suministra la citada información en el momento en que se da publicidad al procedimiento por el que se recibirán los datos. 3. La citada información se facilitará cualquiera que sea la tecnología utilizada para el almacenamiento de los datos, ya se trate de ficheros de audio o ficheros convencionales de texto en formato ASCII o cualquier otro.”33 Por su parte, el RDLOPD en su artículo 18 dispone la necesidad de acreditación del cumplimiento del deber de información. En este sentido establece que el deber de información al que se refiere el artículo 5 de la LOPD, deberá llevarse a cabo a través de un medio que permita acreditar su cumplimiento, debiendo conservarse mientras persista el tratamiento de los datos del afectado. El responsable del fichero o tratamiento deberá conservar el soporte en el que conste el cumplimiento del deber de informar. Para el almacenamiento de los soportes, el responsable del fichero o tratamiento podrá utilizar medios informáticos o telemáticos. En particular podrá proceder al escaneado de la documentación en soporte papel, siempre y cuando se garantice que en dicha automatización no ha mediado alteración alguna de los soportes originales. A los efectos del cumplimiento del deber de información, la Recomendación 3/2008 dispone en su artículo 7.3. que “Cuando el servicio consista en ofrecer información al ciudadano, sin recabar directamente datos de carácter personal, pero se usen cualquier 32 33 Memoria 2003, pág. 145 y 146. Memoria 2003, págs. 153-154. © MARíA ARIAS POU 24 LAS ENTIDADES LOCALES COMO GARANTES DE LA PROTECCIÓN DE DATOS EN LA PRESTACIÓN DE SERVICIOS DE ADMINISTRACIÓN ELECTRÓNICA tipo de sistemas de seguimiento para facilitar la navegación, el servicio deberá informar, con carácter previo a la generación de la “cookie”…” Principio de consentimiento El siguiente principio que establece la LOPD es el de consentimiento del titular de los datos para poder proceder a su tratamiento. A pesar de ser el tercero en el orden establecido por la LOPD, el consentimiento del titular de los datos es la llave para realizar cualquier tratamiento de los mismos. La filosofía que subyace es la de que el “dueño” de los datos es su titular y por tanto, contando con su beneplácito, se puede proceder a realizar todo tratamiento. El consentimiento, conforme al artículo 3.h) de la LOPD, se define como: “toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen”. De ello se desprende la necesaria concurrencia, para que el consentimiento pueda ser considerado conforme a derecho, de los cuatro requisitos enumerados en dicho precepto, libre, inequívoco, específico e informado. La regla general en protección de datos por tanto, es la de la necesidad de consentimiento inequívoco del titular para el tratamiento de sus datos personales, si bien, como toda regla en derecho cuenta con sus consabidas excepciones, de este modo, no será necesario el consentimiento cuando: - los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias; - se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; - el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7, apartado 6, de la LOPD, o - los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado. La forma del consentimiento es por regla general la de “inequívoco” y con carácter excepcional deberá prestarse de forma expresa y en otras ocasiones además de expresa por escrito. Es el caso de los llamados datos especialmente protegidos, recogidos en el artículo 7 de la LOPD y referentes, de un lado, a datos sobre ideología, afiliación sindical, religión o creencias, que requieren el consentimiento expreso y por escrito de su titular y de otro lado, a datos referidos al origen racial, la salud o la vida sexual, que requieren el consentimiento expreso de su titular. De las características del consentimiento no se infiere necesariamente su carácter expreso en todo caso, razón por la cual entendemos que en aquellos supuestos en que el legislador ha pretendido que el consentimiento deba revestir ese carácter, lo ha indicado © MARíA ARIAS POU 25 LAS ENTIDADES LOCALES COMO GARANTES DE LA PROTECCIÓN DE DATOS EN LA PRESTACIÓN DE SERVICIOS DE ADMINISTRACIÓN ELECTRÓNICA expresamente; así sucede en el caso del tratamiento de datos especialmente protegidos, indicando en los apartados 2 y 3 del artículo 7 de la LOPD: “2. Sólo con el consentimiento expreso y por escrito del afectado podrán ser objeto de tratamiento los datos de carácter personal que revelen la ideología, afiliación sindical, religión y creencias. (...) 3. Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una ley o el afectado consienta expresamente.” Por tanto, el consentimiento podrá ser tácito en el tratamiento de datos que no sean especialmente protegidos, si bien, para que ese consentimiento tácito pueda ser considerado inequívoco, será preciso otorgar al afectado un plazo prudencial para que pueda claramente tener conocimiento de que su omisión de oponerse al tratamiento implica un consentimiento al mismo, no existiendo al propio tiempo duda alguna de que el interesado ha tenido conocimiento de la existencia del tratamiento y de la existencia de ese plazo para evitar que se proceda al mismo. En este sentido, la AEPD admite el consentimiento tácito en su Memoria del año 200034. “(…) respecto de la forma de solicitar el consentimiento se ha señalado que la LOPD solo habla de necesidad de consentimiento expreso y por escrito en el artículo 7 que regula los datos especialmente protegidos, es decir aquellos datos de carácter personal que revelen la ideología, afiliación sindical, religión y creencias, o bien aquellos que hagan referencia al origen racial, a la salud y a la vida sexual. Es por ello, que si el legislador hubiera considerado que el consentimiento hubiera de ser siempre expreso no habría distinguido entre diversas clases de supuestos o modalidades para prestarlo. En este sentido se informó que el Tribunal Supremo, en varias sentencias, interpreta que: Fuera de los casos en que la Ley exige una declaración expresa, el consentimiento en los negocios jurídicos puede ser prestado en forma tácita. Por tanto, el consentimiento tácito para la cesión de datos, puede ser válido, siempre que no se trate de datos especialmente protegidos. No obstante, correspondería a la entidad que ha solicitado su consentimiento, la prueba de que lo ha obtenido en cada caso concreto.” Ahora bien, aún admitiendo la prestación de un consentimiento tácito en el entorno del artículo 6 de la LOPD, éste debe, en todo caso, cumplir los requisitos de la definición recogida en el artículo 3.h) de la LOPD para que el consentimiento pueda ser considerado conforme a derecho. Entre estos requisitos merece especial atención el referido a la necesidad de que el consentimiento sea informado, de modo que el afectado conozca la existencia del tratamiento de los datos y la finalidad de su recogida, en el sentido expresado por el artículo 5.1 de la citada LOPD. 34 En 4. El área de atención al ciudadano en IV. Secretaría General, dentro del apartado Funcionamiento de la Agencia. © MARíA ARIAS POU 26 LAS ENTIDADES LOCALES COMO GARANTES DE LA PROTECCIÓN DE DATOS EN LA PRESTACIÓN DE SERVICIOS DE ADMINISTRACIÓN ELECTRÓNICA El consentimiento se describe además como revocable sin efecto retroactivo, de modo que el titular de los datos podrá revocar el consentimiento prestado anteriormente para que sus datos no puedan ser utilizados en un futuro como lo venían siendo por el responsable del fichero. La facultad del titular de los datos de consentir todo tratamiento que se realice de sus datos lleva consigo la de oponerse al tratamiento de sus datos con la limitación de que no exista una ley en contra y basándose en motivos fundados y legítimos relativos a una concreta situación personal. Es lo que se conoce como derecho de oposición del titular de los datos, que examinaremos más detalladamente en el lugar oportuno y que trae como consecuencia que el responsable del fichero deberá excluir del tratamiento los datos relativos al afectado. El RDLOPD dedica al deber de consentimiento los artículos 12 a 17 y en ellos introduce las siguientes concreciones de este deber: - La solicitud del consentimiento deberá ir referida a un tratamiento o serie de tratamientos concretos, con delimitación de la finalidad para los que se recaba, así como de las restantes condiciones que concurran en el tratamiento o serie de tratamientos. - Cuando se solicite el consentimiento del afectado para la cesión de sus datos, éste deberá ser informado de forma que conozca inequívocamente la finalidad a la que se destinarán los datos respecto de cuya comunicación se solicita el consentimiento y el tipo de actividad desarrollada por el cesionario. En caso contrario, el consentimiento será nulo. - Corresponderá al responsable del tratamiento la prueba de la existencia del consentimiento del afectado por cualquier medio de prueba admisible en derecho. - Recoge una regla especial para el consentimiento para el tratamiento de datos de menores de edad en la que establece que podrá procederse al tratamiento de los datos de los mayores de catorce años con su consentimiento, salvo en aquellos casos en los que la Ley exija para su prestación la asistencia de los titulares de la patria potestad o tutela. En el caso de los menores de catorce años se requerirá el consentimiento de los padres o tutores. En estos casos, la información dirigida a los menores de edad deberá expresarse en un lenguaje que sea fácilmente comprensible por aquéllos, y corresponderá al responsable del fichero o tratamiento articular los procedimientos que garanticen que se ha comprobado de modo efectivo la edad del menor y la autenticidad del consentimiento prestado en su caso, por los padres, tutores o representantes legales. Limita este consentimiento a los casos en los que pueda recabarse del menor datos que permitan obtener información sobre los demás miembros del grupo familiar, o sobre las características del mismo, como los datos relativos a la actividad profesional de los progenitores, información económica, datos sociológicos o cualesquiera otros, sin el consentimiento de los titulares de tales datos. No obstante, podrán recabarse los datos de identidad y dirección del padre, madre o tutor con la única finalidad de recabar la autorización prevista en el apartado anterior. © MARíA ARIAS POU 27 LAS ENTIDADES LOCALES COMO GARANTES DE LA PROTECCIÓN DE DATOS EN LA PRESTACIÓN DE SERVICIOS DE ADMINISTRACIÓN ELECTRÓNICA Principios de datos especialmente protegidos En materia de protección de datos se distingue una categoría de datos que requiere una protección especial y para la que se establecen reglas especiales de actuación en su tratamiento. Los datos especialmente protegidos están regulados en el artículo 7 de la LOPD y hacen referencia a datos sobre: - ideología, afiliación sindical, religión, creencias, origen racial, vida sexual y salud. El requisito común a todos ellos es la necesidad del consentimiento del titular del dato de forma expresa para poder proceder a su tratamiento. Los cuatro primeros referentes a ideología, afiliación sindical, religión o creencias, requieren que el consentimiento además de expreso sea prestado por escrito. Un último apunte sobre los datos especialmente protegidos hace referencia a los datos relativos a la comisión de infracciones penales o administrativas que sólo podrán ser incluidos en los ficheros de las Administraciones Públicas competentes en los supuestos previstos en las respectivas normas reguladoras. Principio de deber de secreto El deber de secreto obliga al responsable del fichero y a quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo. El deber de secreto debe estar muy presente en la política de protección de datos de las distintas entidades locales, y este deber alcanza a las personas responsables del tratamiento como a todos aquellos que de un modo u otro intervienen en el mismo. En este punto es importante insistir en que la información de carácter personal a la que se accede, en cumplimiento de los deberes del puesto de trabajo que se ocupa, deben ser utilizados única y exclusivamente dentro de las competencias atribuidas y no extralimitarse en ellas. Esto implica también que el responsable del fichero, la entidad local, sólo podrá proceder a facilitar información de carácter personal, en los casos y a los destinatarios debidamente legitimados, por ejemplo, porque así lo prevea una ley o porque contemos con el consentimiento del titular de los datos para ello. La Agencia Española de Protección de Datos, en su resolución R/01326/2008, de 2 de octubre explica así este deber: “El deber de secreto profesional que incumbe a “el responsable del fichero y a quienes intervengan en cualquier fase del tratamiento…”, recogido en el artículo 10 de la LOPD, comporta que éstos no puedan revelar ni dar a © MARíA ARIAS POU 28 LAS ENTIDADES LOCALES COMO GARANTES DE LA PROTECCIÓN DE DATOS EN LA PRESTACIÓN DE SERVICIOS DE ADMINISTRACIÓN ELECTRÓNICA conocer su contenido teniendo el “deber de guardarlos, obligaciones que subsistirán aún después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo”. Este deber es una exigencia elemental y anterior al propio reconocimiento del derecho fundamental a la libertad informática a que se refiere la Sentencia del Tribunal Constitucional 292/2000, de 30 de marzo, y por lo que ahora interesa, comporta que los datos tratados automatizadamente no pueden ser conocidos por ninguna persona o entidad ajena fuera de los casos autorizados por la Ley, pues en eso consiste precisamente el secreto.” Y añade: “Este deber de sigilo resulta esencial en las sociedades actuales cada vez más complejas, en las que los avances de la técnica sitúan a la persona en zonas de riesgo para la protección de derechos fundamentales, como la intimidad o el derecho a la protección de los datos que recoge el artículo 18.4 de la CE. En efecto, este precepto contiene un “instituto de garantía de los derechos de los ciudadanos que, además, es en sí mismo un derecho o libertad fundamental, el derecho a la libertad frente a las potenciales agresiones a la dignidad y a la libertad de la persona provenientes de un uso ilegítimo del tratamiento mecanizado de datos” (Sentencia citada 292/2000). Este derecho fundamental a la protección de datos persigue garantizar a esa persona un poder de control sobre sus datos personales, sobre su uso y destino que impida que se produzcan situaciones atentatorias con la dignidad de la persona, es decir, el poder de resguardar su vida privada de una publicidad no querida.” Principio de cesión o comunicación de datos La cesión o comunicación de datos es definida por la LOPD35 como: “toda revelación de datos realizada a una persona distinta del interesado”. Los requisitos para realizar una cesión legal de datos son: - contar con el previo consentimiento del interesado, y - que existan fines directamente relacionados entre las funciones legítimas del cedente y el cesionario. La regla general de consentimiento previo, como toda regla general tiene sus excepciones, previstas en el artículo 11.2.b) de la LOPD y en el artículo 10 del RDLOPD, que son: a) Cuando la cesión está autorizada en una ley. El artículo 10.2.a) RDLOPD matiza esta excepción disponiendo que podría procederse a la cesión cuando lo autorice una norma con rango de ley o una norma de derecho comunitario y, en particular, cuando concurra uno de los supuestos siguientes: • El tratamiento o la cesión tengan por objeto la satisfacción de un interés legítimo del responsable del tratamiento o del cesionario amparado por dichas normas, siempre que no prevalezca el interés o los derechos y libertades fundamentales de los interesados previstos en el artículo 1 de la LOPD. 35 Artículo 3 i) de la LOPD. © MARíA ARIAS POU 29 LAS ENTIDADES LOCALES COMO GARANTES DE LA PROTECCIÓN DE DATOS EN LA PRESTACIÓN DE SERVICIOS DE ADMINISTRACIÓN ELECTRÓNICA • El tratamiento o la cesión de los datos sean necesarios para que el responsable del tratamiento cumpla un deber que le imponga una de dichas normas. Pongamos por caso las cesiones de datos de los trabajadores a la Tesorería General de la Seguridad Social. b) Cuando se trate de datos recogidos de fuentes accesibles al público. En este supuesto es necesario tener siempre presente cuáles son las fuentes que la LOPD considera como “accesibles al público” y cumpliendo las exigencias legales de informar al titular de los datos en cada comunicación que se le realice sobre el origen de sus datos, de dónde los hemos obtenido, quién es el sujeto responsable del fichero, y qué derechos le asisten. Por su parte, el artículo 10.2.b) RDLOPD, prevé como excepción que los datos objeto de tratamiento o de cesión figuren en fuentes accesibles al público y el responsable del fichero, o el tercero a quien se comuniquen los datos, tenga un interés legítimo para su tratamiento o conocimiento, siempre que no se vulneren los derechos y libertades fundamentales del interesado. Y añade, “No obstante, las Administraciones públicas sólo podrán comunicar al amparo de este apartado los datos recogidos de fuentes accesibles al público a responsables de ficheros de titularidad privada cuando se encuentren autorizadas para ello por una norma con rango de ley.” c) Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique36. Es el caso de la relación entre los vecinos del municipio y el Ayuntamiento, por ejemplo, que permiten a éste tratar datos de los vecinos para llevar a cabo la relación con ellos y la prestación de servicios públicos que le corresponde. d) Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco será preciso el consentimiento cuando la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas37. En esta excepción es importante saber que la enumeración de destinatarios que se realiza es una lista cerrada y que no tiene cabida ninguno más de los que se enumera. e) Cuando la cesión se produzca entre Administraciones públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos. 36 37 En igual sentido el artículo 10.4.a) del RDLOPD. En igual sentido el artículo 10.4.b) del RDLOPD. © MARíA ARIAS POU 30 LAS ENTIDADES LOCALES COMO GARANTES DE LA PROTECCIÓN DE DATOS EN LA PRESTACIÓN DE SERVICIOS DE ADMINISTRACIÓN ELECTRÓNICA El artículo 10.4.c) RDLOPD establece, respecto de esta excepción la necesidad de que concurra uno de los siguientes supuestos: • • • Tenga por objeto el tratamiento de los datos con fines históricos, estadísticos o científicos. Los datos de carácter personal hayan sido recogidos o elaborados por una Administración pública con destino a otra. La comunicación se realice para el ejercicio de competencias idénticas o que versen sobre las mismas materias. f) Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica. Vuelve a ser el consentimiento del titular de los datos, el requisito necesario para que el responsable del fichero pueda proceder a realizar la cesión o comunicación de datos que pretende. Este consentimiento debe reunir las cuatro características esenciales del consentimiento que examinábamos al tratar del principio de consentimiento y que son las de ser un consentimiento libre, inequívoco, específico e informado. En la cesión o comunicación de datos, el consentimiento del titular debe abarcar que los datos sean cedidos por el responsable del fichero al cesionario, conociendo quién es este cesionario y qué la cesión sea necesaria para cumplir fines relacionados entre las funciones que desempeña el responsable del fichero y cedente y el cesionario de los datos. Por este motivo, el artículo 11 de la LOPD en su apartado tercero, establece que será nulo el consentimiento para la comunicación de los datos de carácter personal a un tercero, cuando la información que se facilite al titular de los datos no le permita conocer la finalidad a que destinarán sus datos cedidos o el tipo de actividad del cesionario. Asimismo, el consentimiento necesario para la cesión o comunicación de datos puede ser revocado por el titular de los datos en la misma forma y con los mismos límites que hemos examinado para el consentimiento. Estamos analizando la cesión de datos desde el punto de vista del cedente, si bien, en el caso de que seamos cesionarios de datos debemos saber que por el hecho de recibir datos personales de un tercero, responsable del fichero, quedamos sujetos a observar todas las reglas exigidas para el tratamiento de datos de carácter personal porque los datos pasan a formar parte de un fichero del que nosotros somos responsables. La cesión o comunicación de datos entre Administraciones Públicas es una de las preocupaciones de la LAECSP y del Proyecto de Real Decreto, así, por ejemplo, destacar el artículo 9 de la Ley, que se refiere a las “Transmisiones de datos entre Administraciones Públicas” dispone: © MARíA ARIAS POU 31 LAS ENTIDADES LOCALES COMO GARANTES DE LA PROTECCIÓN DE DATOS EN LA PRESTACIÓN DE SERVICIOS DE ADMINISTRACIÓN ELECTRÓNICA “1. Para un eficaz ejercicio del derecho reconocido en el apartado 6.2.b), cada Administración deberá facilitar el acceso de las restantes Administraciones Públicas a los datos relativos a los interesados que obren en su poder y se encuentren en soporte electrónico, especificando las condiciones, protocolos y criterios funcionales o técnicos necesarios para acceder a dichos datos con las máximas garantías de seguridad, integridad y disponibilidad, de conformidad con lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y su normativa de desarrollo. 2. La disponibilidad de tales datos estará limitada estrictamente a aquellos que son requeridos a los ciudadanos por las restantes Administraciones para la tramitación y resolución de los procedimientos y actuaciones de su competencia de acuerdo con la normativa reguladora de los mismos. El acceso a los datos de carácter personal estará, además, condicionado al cumplimiento de las condiciones establecidas en el artículo 6.2.b) de la presente Ley.” De este modo, explica el artículo 6 de la Recomendación 3/2008 que “Todo servicio de administración electrónica que requiera datos del solicitante deberá recabar todos los datos necesarios para la posterior tramitación del correspondiente procedimiento. Para dar cumplimiento al derecho que reconoce la Ley 11/2007, de 22 de junio, al interesado para no aportar datos que ya obran en poder de la Administración, el solicitante podrá optar por facilitar el dato o documento requerido o, en su caso, autorizar al órgano que va a tramitar el correspondiente expediente para que pueda recabar el dato o documento del órgano administrativo en que se pueda encontrar.” Y en relación al deber de información relacionado con la cesión de datos, el artículo 7.4. de la citada Recomendación establece que se deberá realizar un especial esfuerzo de información al ciudadano cuando los datos recabados vayan a ser objeto de cesiones a órganos de otras Administraciones Públicas. Así se dispone que cuando se recaben datos en sedes o registros electrónicos se informará, especialmente, de las comunicaciones a realizar a los órganos encargados de iniciar, gestionar y resolver las peticiones formuladas por los usuarios. Principio de acceso a datos por cuenta de tercero Cuando transmitimos los datos personales, de los ficheros de los que somos responsables, a un tercero, podemos estar realizando una comunicación o cesión de datos en los términos que hemos analizado en el apartado anterior, o podemos estar contratando un servicio que implica necesariamente una transmisión de datos. En este segundo supuesto estamos ante lo que se conoce como un contrato de prestación de servicios o acceso a los datos por tercero. Un ejemplo clásico de esta figura es la de una gestoría de nóminas que trata los datos de los empleados de sus clientes para prestarle el servicio de elaboración de las nóminas al responsable del fichero. Otro ejemplo de acceso a los datos por terceros, en el ámbito electrónico, lo encontramos en el prestador de servicios de intermediación que gestiona y administra las cuentas de correo electrónico del personal que trabaja en las empresas o entidades de sus clientes para darles de alta las cuentas de correo, alojarlas en el servidor, comprobar © MARíA ARIAS POU 32 LAS ENTIDADES LOCALES COMO GARANTES DE LA PROTECCIÓN DE DATOS EN LA PRESTACIÓN DE SERVICIOS DE ADMINISTRACIÓN ELECTRÓNICA su funcionamiento y demás servicios que le obligan a tratar las direcciones de correo electrónico de los trabajadores. El acceso a los datos por cuenta de terceros no se considerará una comunicación de datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del fichero. En este sentido, destacar que se deben cumplir todos los requisitos del artículo 12 de la LOPD pero el que recibe los datos, no se convierte en responsable del fichero respecto de los mismos sino que encarna la figura del encargado del tratamiento, esto es, conforme al artículo 3 g) de la LOPD ya referido, “la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento.” La realización de tratamientos por cuenta de terceros debe estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, por ejemplo, en un documento electrónico. Este contrato deberá establecer expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del fichero, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas. En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el artículo 9 de la LOPD que el encargado del tratamiento está obligado a implementar. Como consecuencia de que el acceso a los datos por tercero no nos convierte en responsables del fichero, la prestación del servicio es limitada y por tanto otra estipulación del contrato debe referirse a la destrucción o devolución de los datos al responsable del fichero junto con cualquier soporte o documento en que conste algún dato de carácter personal objeto del tratamiento que derive de la prestación del servicio. El RDLOPD dedica a la figura del encargado del tratamiento los artículos 20 a 22 y entre las novedades más importantes destacamos que regula expresamente el supuesto de la subcontratación y la conservación de datos por el encargado del tratamiento. 5.4. Atención y respuesta al ejercicio de los derechos El titular de los datos de carácter personal tiene reconocidos en materia de protección de datos unos derechos que le permiten limitar los tratamientos que se realicen de sus datos, conocer los tratamientos que se están realizando, actualizar sus datos y oponerse al tratamiento de sus datos para fines de publicidad, por ejemplo. Entre estos derechos, encontramos los derechos de acceso, rectificación, cancelación y oposición, pero estos cuatro derechos no son los únicos reconocidos por la LOPD. Además, se reconocen a los titulares de los datos, el derecho de impugnación de valoraciones, el derecho de consulta al Registro General de Protección de Datos y el derecho de indemnización por daños o lesiones en sus bienes o derechos sufridos por un tratamiento de datos no conforme a la LOPD. La regulación jurídica de estos derechos la encontramos en la LOPD que dedica a los derechos de las personas el Título III que se desarrolla en los artículos 13 a 19. Estos artículos se encuentran desarrollados en el RDLOPD 23 a 36. © MARíA ARIAS POU 33 LAS ENTIDADES LOCALES COMO GARANTES DE LA PROTECCIÓN DE DATOS EN LA PRESTACIÓN DE SERVICIOS DE ADMINISTRACIÓN ELECTRÓNICA Derecho de impugnación de valoraciones El artículo 13 de la LOPD se dedica al derecho de impugnación de valoraciones que supone que el titular de los datos tiene derecho a no verse sometido a una decisión con efectos jurídicos, sobre él o que le afecte de manera significativa, cuando se base únicamente en un tratamiento de datos destinados a evaluar determinados aspectos de su personalidad. En este sentido, se reconoce, al titular de los datos que se vea afectado por una valoración de este tipo, el derecho a impugnar los actos administrativos o decisiones privadas que impliquen una valoración de su comportamiento cuando su único fundamento sea un tratamiento de datos de carácter personal del que resulte una definición de sus características o personalidad. Este derecho a no verse sometido a valoraciones, permite al titular de los datos obtener información sobre los criterios de valoración y el programa utilizados en el tratamiento que sirvió al responsable del fichero para adoptar la decisión en que consistió el acto. Además le faculta para decidir cuándo la valoración puede tener efecto probatorio. El fundamento de este derecho se encuentra, en nuestra opinión, en los tratamientos de datos automatizados utilizados, por ejemplo, en el ámbito bancario para evaluar el riesgo de una operación de crédito a través de técnicas como el scoring que podemos definirla como la técnica “consistente en efectuar una valoración del riesgo según los parámetros establecidos y en emitir un resultado de apto o no apto de los clientes38”. Este derecho de impugnación de valoraciones está recogido en la Directiva sobre protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, en el artículo 15, con el título “Decisiones individuales automatizadas”, en los siguientes términos: “1. Los Estados miembros reconocerán a las personas el derecho a no verse sometidas a una decisión con efectos jurídicos sobre ellas o que les afecte de manera significativa, que se base únicamente en un tratamiento automatizado de datos destinado a evaluar determinados aspectos de su personalidad, como su rendimiento laboral, crédito, fiabilidad, conducta, etc.” Nos resulta importante considerar las excepciones a este derecho que contempla el apartado segundo de este artículo: “2. Los Estados miembros permitirán, sin perjuicio de lo dispuesto en los demás artículos de la presente Directiva, que una persona pueda verse sometida a una de las decisiones contempladas en el apartado 1 cuando dicha decisión: a) se haya adoptado en el marco de la celebración o ejecución de un contrato, siempre que la petición de celebración o ejecución del contrato presentada por el interesado se haya satisfecho o que existan medidas apropiadas, como la posibilidad de defender su punto de vista, para la salvaguardia de su interés legítimo; o b) esté autorizada por una ley que establezca medidas que garanticen el interés legítimo del interesado.” 38 Definido así por la Audiencia Nacional en Sentencia de 15 noviembre de 2002. Sala de lo contenciosoadministrativo. Sección Primera. © MARíA ARIAS POU 34 LAS ENTIDADES LOCALES COMO GARANTES DE LA PROTECCIÓN DE DATOS EN LA PRESTACIÓN DE SERVICIOS DE ADMINISTRACIÓN ELECTRÓNICA Derecho de consulta al Registro General de Protección de Datos El segundo derecho definido por la LOPD en el artículo 14 de la LOPD que dispone: “Cualquier persona podrá conocer, recabando a tal fin la información oportuna del Registro General de Protección de Datos, la existencia de tratamientos de datos de carácter personal, sus finalidades y la identidad del responsable del tratamiento.” El RGPD es público y la información en él contenida, referente a los ficheros de datos de carácter personal, puede conseguirse de forma gratuita a través de la página web de la Agencia Española de Protección de Datos y lo que podemos conocer es el nombre del fichero, la descripción del mismo, la finalidad para la que se creó el fichero, y por último, la identidad del responsable del fichero. La AEPD en su Memoria del año 200039 se refería a este derecho de consulta al RGPD de la siguiente forma: “El RGPD, en cumplimiento del artículo 14 de la Ley, es el órgano al que corresponde velar por la publicidad de la existencia de los ficheros de datos de carácter personal, con la finalidad de que los ciudadanos tengan la posibilidad de ejercitar los derechos de acceso, rectificación, oposición y cancelación de sus datos, pudiendo conocer a tal fin la siguiente información: - la existencia de ficheros automatizados - la finalidad de sus tratamientos - la identidad del responsable del fichero”. El derecho de consulta al RGPD puede satisfacer distintas finalidades como por ejemplo las que explica la AEPD en su Memoria anual de 200140: “Estas consultas se corresponden con las solicitadas por los ciudadanos que desean conocer esta información al objeto de obtener la dirección del responsable del fichero ante el que desean ejercer sus derechos de acceso, oposición, rectificación o cancelación. Por otra parte, existe otro tipo de solicitudes bien diferenciado, que se corresponde con el del responsable del fichero, o de un tercero con interés legítimo, que en un momento determinado desea conocer la situación y el contenido de la inscripción de un fichero”. Conforme al artículo 39 de la LOPD, serán objeto de inscripción en el Registro General de Protección de Datos: a) Los ficheros de que sean titulares las Administraciones públicas. b) Los ficheros de titularidad privada. 39 Memoria de la Agencia Española de Protección de Datos de 2000, en 3.1 Declaración de ficheros, dentro de 3. Entrada en vigor de la Ley Orgánica 15/1999 y nuevos modelos de notificación, II. Subdirección General del Registro General de Protección de Datos, en Funcionamiento de la Agencia. 40 Memoria de la AEPD de 2001 pág. 26. © MARíA ARIAS POU 35 LAS ENTIDADES LOCALES COMO GARANTES DE LA PROTECCIÓN DE DATOS EN LA PRESTACIÓN DE SERVICIOS DE ADMINISTRACIÓN ELECTRÓNICA c) Las autorizaciones a que se refiere la LOPD, como es el caso de las autorizaciones para las transferencias internacionales de datos, d) Los códigos tipo a que se refiere el artículo 32 de la LOPD, entre los que encontramos el Código Ético de Comercio Electrónico y Publicidad Interactiva, inscrito en el RGPD el 7 de noviembre de 2002 y modificado en noviembre de 2005. e) Los datos relativos a los ficheros que sean necesarios para el ejercicio de los derechos de información, acceso, rectificación, cancelación y oposición. A continuación la LOPD se refiere a los derechos de acceso, rectificación, cancelación y oposición que vamos a analizar más detalladamente a continuación, si bien, antes queremos hacer una referencia al último derecho al que se refiere este Título III de la LOPD, que es el derecho de indemnización que se reconoce a los titulares de los datos cuando como consecuencia de un incumplimiento de la LOPD se sufre un daño o lesión en sus bienes o derechos. Derecho de indemnización Este derecho, reconocido en el artículo 19 de la LOPD, hace referencia al derecho a ser indemnizados que tienen los interesados que como consecuencia del incumplimiento por el responsable o el encargado del tratamiento de lo dispuesto en la LOPD, sufran daño o lesión en sus bienes o derechos tendrán. Cuando el incumplimiento sea cometido por una Administración Pública en relación con ficheros de titularidad pública, la responsabilidad se exigirá de acuerdo con la legislación reguladora del régimen de responsabilidad de las Administraciones Públicas. En el caso de los ficheros de titularidad privada, la acción se ejercitará ante los órganos de la jurisdicción ordinaria. Derechos de acceso, rectificación, cancelación y oposición Lo primero que debemos destacar de estos derechos es su carácter personalísimo, esto es, sólo pueden ser ejercitados por el titular de los datos y la LOPD reconoce dos únicos supuestos en los que se puede admitir el ejercicio de estos derechos por representante y son el caso de los menores de edad y de los incapaces legales. El RDLOPD ha venido a ampliar las posibilidades de ejercicio de estos derechos a los representantes voluntarios que expresamente hayan sido designados para el ejercicio del derecho. Otra cuestión que entendemos relevante, desde el punto de vista del responsable del fichero, es la referente a que siempre se tiene que contestar el ejercicio de los derechos, es decir, cuando recibimos un ejercicio de derechos debemos responder dentro del plazo previsto proceda o no proceda la solicitud que se nos realiza. Esto es, si se ejercita el derecho de acceso por una persona de la que no nos constan datos personales en nuestros ficheros, debemos contestarle indicando esta circunstancia. Si lo que se solicita es la rectificación o la cancelación de unos datos y esto no procede, responderemos argumentando nuestra decisión. Igualmente respecto del derecho de oposición, deberemos contestar su solicitud indicando si podemos proceder a atenderlo o no porque, por ejemplo, existe una ley que se opone a ello. © MARíA ARIAS POU 36 LAS ENTIDADES LOCALES COMO GARANTES DE LA PROTECCIÓN DE DATOS EN LA PRESTACIÓN DE SERVICIOS DE ADMINISTRACIÓN ELECTRÓNICA 1- Derecho de acceso El artículo 15 de la LOPD dispone que: “1. El interesado tendrá derecho a solicitar y obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, el origen de dichos datos, así como las comunicaciones realizadas o que se prevén hacer de los mismos. 2. La información podrá obtenerse mediante la mera consulta de los datos por medio de su visualización, o la indicación de los datos que son objeto de tratamiento mediante escrito, copia, telecopia o fotocopia, certificada o no, en forma legible e inteligible, sin utilizar claves o códigos que requieran el uso de dispositivos mecánicos específicos. 3. El derecho de acceso a que se refiere este artículo sólo podrá ser ejercitado a intervalos no inferiores a doce meses, salvo que el interesado acredite un interés legítimo al efecto, en cuyo caso podrán ejercitarlo antes.” El derecho de acceso faculta al titular de los datos a solicitar información sobre sus datos de carácter personal sometidos a tratamiento por el responsable del fichero. Esta solicitud de información le da derecho a conocer el origen de los datos y las cesiones de los mismos a terceros realizadas o que se prevean realizar. Este derecho se puede ejercitar mediante petición o solicitud dirigida al responsable del fichero, formulada por cualquier medio que garantice la identificación del afectado y en la que conste el fichero o ficheros a consultar. El titular de los datos, siempre que la configuración e implantación material del fichero lo permita, puede optar por ejercitar su derecho mediante: a) Visualización en pantalla. b) Escrito, copia o fotocopia remitida por correo. c) Telecopia. d) Cualquier otro procedimiento que sea adecuado a la configuración e implantación material del fichero, ofrecido por el responsable del mismo. El responsable del fichero está obligado a resolver la petición de acceso, tenga o no datos de la persona que lo ejercita en sus ficheros, en el plazo máximo de un mes, a contar de la recepción de la solicitud. Transcurrido este plazo sin que de forma expresa se responda a la petición de acceso, ésta podrá entenderse desestimada a los efectos de la interposición de la reclamación prevista en el artículo 18 de la LOPD. Si la resolución del ejercicio del derecho de acceso fuera estimatoria, el acceso se hará efectivo en el plazo de los diez días siguientes a la notificación de aquélla. La información, cualquiera que sea el soporte en que fuere facilitada, se dará en forma legible e inteligible, previa transcripción en claro de los datos del fichero, en su caso. La información comprenderá los datos de base del afectado y los resultantes de cualquier elaboración o proceso informático, así como el origen de los datos, los cesionarios de los mismos y la especificación de los concretos usos y finalidades para los que se almacenaron los datos. © MARíA ARIAS POU 37 LAS ENTIDADES LOCALES COMO GARANTES DE LA PROTECCIÓN DE DATOS EN LA PRESTACIÓN DE SERVICIOS DE ADMINISTRACIÓN ELECTRÓNICA 2- Derechos de rectificación y cancelación Regulados en el artículo 16 de la LOPD, los derechos de rectificación y cancelación podrán ejercitarse cuando el tratamiento de los datos de carácter personal no se ajuste a lo dispuesto en la LOPD y, en particular, cuando tales datos resulten inexactos o incompletos. Estos derechos procederán cuando los datos del afectado sean inexactos o incompletos, inadecuados o excesivos, para solicitar del responsable del fichero la rectificación o la cancelación de los mismos. La solicitud de rectificación deberá indicar el dato que es erróneo y la corrección que debe realizarse, y debiendo ir acompañada de la documentación justificativa de la rectificación solicitada, salvo que la misma dependa exclusivamente del consentimiento del interesado. Si los datos rectificados hubieran sido comunicados previamente, el responsable del tratamiento deberá notificar la rectificación efectuada a quien se hayan comunicado. También procede la cancelación cuando el tratamiento de los datos personales no se ajuste a lo dispuesto en la Ley y, en particular, cuando tales datos resulten inexactos o incompletos. La solicitud de cancelación deberá indicar el dato que es erróneo, la corrección que debe realizarse y deberá ir acompañada de la documentación justificativa de la cancelación solicitada, salvo que la misma dependa exclusivamente del consentimiento del interesado. Si los datos cancelados hubieran sido comunicados previamente, el responsable del tratamiento deberá notificar la cancelación efectuada a quien se hayan comunicado. La cancelación dará lugar al bloqueo de los datos, conservándose únicamente a disposición de las Administraciones Públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas. El bloqueo de datos es la identificación y reserva de datos con el fin de impedir su tratamiento. Cumplido el citado plazo de prescripción deberá procederse a la supresión de los datos. Los datos de carácter personal deberán ser conservados durante los plazos previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre la persona o entidad responsable del tratamiento y el interesado. El responsable del tratamiento tendrá la obligación de hacer efectivo el derecho de rectificación o el de cancelación del interesado en el plazo de diez días. Transcurrido el plazo previsto sin que de forma expresa se responda a la solicitud de rectificación o de cancelación, ésta podrá entenderse desestimada a los efectos de la interposición de la reclamación que corresponda, esto es, un procedimiento de tutela de derechos. Si solicitada la rectificación o la cancelación, el responsable del fichero considera que no procede atender la solicitud del afectado, se lo comunicará motivadamente dentro del plazo de los diez días siguientes al de la recepción de la misma, a fin de que por éste se pueda hacer uso de la reclamación que corresponda. © MARíA ARIAS POU 38 LAS ENTIDADES LOCALES COMO GARANTES DE LA PROTECCIÓN DE DATOS EN LA PRESTACIÓN DE SERVICIOS DE ADMINISTRACIÓN ELECTRÓNICA Un ejemplo del incumplimiento de la obligación de hacer efectivo el derecho de cancelación, lo encontramos en la Memoria de la AEPD del año 200441, que relata así: “La Sentencia de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional de 3 de abril de 2004 desestima el recurso interpuesto contra resolución de la Agencia de 30 de enero de 2002 por infracción del artículo 16 de la LOPD, dado que no se había procedido a la cancelación de los datos solicitada por el interesado. La parte actora partió de la consideración de que la "cancelación" a que se refiere el artículo 16 de la LOPD no supone la destrucción o borrado físico de los datos según el apartado 3 del mismo artículo. Además, insistía en que el requerimiento de cancelación fue debidamente atendido, pues los datos del denunciante no estaban incluidos en el fichero "clientes" sino en el de "clientes potenciales" y quedaron bloqueados mediante una clave, significando que no serian utilizables para futuras promociones publicitarias. La Sala examina los argumentos y entiende que no se ha acreditado ni concretado la fecha en que se bloquearon los datos. Tal cancelación no se produjo con la prontitud que aduce el demandante puesto que la orden de bloqueo se produjo después de la visita de inspección y, en su día, la entidad ahora demandante no hizo mención de que estuvieran bloqueados sino que adujeron que la existencia de tales datos en el fichero "(…) .se debía a un error por parte de la demandante en el proceso de cancelación (…) a pesar de haber ejercitado éste su derecho de cancelación". La Sala no aprecia la concurrencia de circunstancias que excluyan la culpabilidad de la recurrente, puesto que tiene como hábito el manejo de ficheros automatizados, y recuerda que se puede incurrir en responsabilidad por la infracción tanto de manera intencionada o dolosa como por descuido, negligencia o aún a título de inobservancia. Tampoco se vulnera el principio de proporcionalidad.” 3- Derecho de oposición Conforme al artículo 6.4. de la LOPD, procederá ejercitar el derecho de oposición cuando para el tratamiento de los datos personales del afectado no sea necesario su consentimiento, y siempre que una Ley no disponga lo contrario, o cuando existan motivos fundados y legítimos relativos a una concreta situación personal. El derecho de oposición es regulado por los artículos 34 a 36 del RDLOPD y de ellos se extrae que el derecho de oposición es el derecho del afectado a que no se lleve a cabo el tratamiento de sus datos de carácter personal o se cese en el mismo en los siguientes supuestos: a) Cuando no sea necesario su consentimiento para el tratamiento, como consecuencia de la concurrencia de un motivo legítimo y fundado, referido a su concreta situación personal, que lo justifique, siempre que una Ley no disponga lo contrario. b) Cuando se trate de ficheros que tengan por finalidad la realización de actividades de publicidad y prospección comercial, cualquiera que sea la empresa responsable de su 41 Memoria 2004, pág. 130. © MARíA ARIAS POU 39 LAS ENTIDADES LOCALES COMO GARANTES DE LA PROTECCIÓN DE DATOS EN LA PRESTACIÓN DE SERVICIOS DE ADMINISTRACIÓN ELECTRÓNICA creación. c) Cuando el tratamiento tenga por finalidad la adopción de una decisión referida al afectado y basada únicamente en un tratamiento automatizado de sus datos de carácter personal. El derecho de oposición se ejercitará mediante solicitud dirigida al responsable del tratamiento, quien resolverá sobre la solicitud de oposición en el plazo máximo de diez días a contar desde la recepción de la solicitud. El responsable del fichero o tratamiento deberá excluir del tratamiento los datos relativos al afectado que ejercite su derecho de oposición o denegar motivadamente la solicitud del interesado. En el caso de que no disponga de datos de carácter personal de los afectados deberá igualmente comunicárselo en el mismo plazo. Desde el punto de vista práctico, a efectos de cumplir la obligación legal de atender el ejercicio de los derechos reconocidos a los titulares de los datos, es importante conocer los requisitos formales y de plazo que la normativa establece sobre ellos, de modo que, en el entorno electrónico sería recomendable incluir información referente a estos derechos y facilitar la forma en la que pueden ser ejercitados mediante la inclusión de modelos o formularios en este sentido en la página web de la entidad local. 6. ÓRGANOS DE VIGILANCIA Y CONTROL En el ámbito de la Administración Pública, son dos los tipos de órganos que en materia de protección de datos nos interesa conocer, de un lado, la Agencia Española de Protección de Datos y de otro lado, los órganos competentes de las Comunidades Autónomas o las Agencias autonómicas de protección de datos. La AEPD es competente, a efectos de ficheros de titularidad pública, en todo el territorio nacional salvo en aquellas comunidades autónomas en las que se haya creado el propio órgano competente al efecto. Las Agencias autonómicas, por su parte, son competentes en materia de ficheros de titularidad pública de la Comunidad Autónoma a la que pertenecen. Examinemos brevemente las competencias de cada una de ellas. 6.1. Agencia Española de Protección de Datos La LOPD describe a la AEPD, en su artículo 35, como un ente de derecho público, con personalidad jurídica propia y plena capacidad pública y privada, que actúa con plena independencia de las Administraciones Públicas en el ejercicio de sus funciones. Las principales funciones que tiene asignadas la AEPD se recogen en el artículo 37 de la LOPD y a los efectos que nos ocupan nos interesa destacar que es el órgano encargado de velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación, en especial en lo relativo a los derechos de información, acceso, rectificación, oposición y cancelación de datos, también se encarga de emitir las autorizaciones previstas en la Ley o en sus disposiciones reglamentarias y ejercer el control y adoptar las autorizaciones que procedan en relación con los movimientos internacionales de datos, así como desempeñar las funciones de cooperación internacional en materia de protección de datos personales. Además y entre otras, es competente para dictar, en su caso, y sin perjuicio de las competencias de otros órganos, las instrucciones precisas para adecuar los tratamientos © MARíA ARIAS POU 40 LAS ENTIDADES LOCALES COMO GARANTES DE LA PROTECCIÓN DE DATOS EN LA PRESTACIÓN DE SERVICIOS DE ADMINISTRACIÓN ELECTRÓNICA a los principios de la Ley. Desde su creación, la AEPD ha ido aprobando Instrucciones42 que tienen por finalidad aclarar y facilitar el conocimiento y el cumplimiento de la normativa sobre protección de datos. De otro lado, referirnos a las funciones de atender las peticiones y reclamaciones formuladas por las personas afectadas, proporcionar información a las personas acerca de sus derechos en materia de tratamiento de los datos de carácter personal, requerir a los responsables y a los encargados de los tratamientos, previa audiencia de estos, la adopción de las medidas necesarias para la adecuación del tratamiento de datos a las disposiciones de esta Ley y, en su caso, ordenar la cesación de los tratamientos y la cancelación de los ficheros, cuando no se ajuste a sus disposiciones y ejercer la potestad sancionadora en materia de protección de datos. De este modo, atiende a las denuncias que se plantean en la materia a través de los procedimientos sancionadores y de tutela de derechos que son dos vías administrativas que persiguen, respectivamente, comprobar que se ha producido o no un incumplimiento de la LOPD o de su normativa de desarrollo y de otro, para garantizar la atención del ejercicio de los derechos reconocidos a los titulares de los datos. Desde la perspectiva del responsable del fichero o del encargado del tratamiento, estas potestades implican que la AEPD pueda inspeccionar determinadas conductas, requerir su adecuación a la normativa vigente e imponer las sanciones previstas en la Ley, función inspectora que analizaremos después. La AEPD también cumple la función de informar, con carácter preceptivo, los proyectos de disposiciones generales que desarrollen la LOPD, como es el caso actual en el que hemos asistido a la elaboración del que será el desarrollo reglamentario de la LOPD y en este sentido, son muchos los foros en los que la AEPD ha hecho referencia al mismo. También debe recabar de los responsables de los ficheros cuanta ayuda e información estime necesaria para el desempeño de sus funciones y velar por la publicidad de la existencia de los ficheros de datos con carácter personal, a cuyo efecto publicará periódicamente una relación de dichos ficheros con la información adicional que el Director de la Agencia determine. En este sentido, hemos analizado cómo el Registro General de Protección de Datos da publicidad a los ficheros de datos que en él se inscriben. 6.2. Las Agencias Autonómicas de Protección de Datos 42 De estas Instrucciones, las anteriores a la aprobación de la LOPD se entienden derogadas, desde el momento en el que desarrollaban y aclaraban aspectos de una Ley que fue derogada por la LOPD, la LORTAD, sin embargo y a efectos prácticos, no se debe olvidar que las Instrucciones de la AEPD en todo caso contienen los criterios interpretativos de ésta y como tal tienen un gran valor en tanto no se aprueben normas que regulen los aspectos que las Instrucciones tratan. Estas Instrucciones son, entre otras, la Instrucción 1/1996, de 1 de marzo, de la AEPD, sobre ficheros automatizados establecidos con la finalidad de controlar el acceso a los edificios, la Instrucción 1/1998, de 19 de enero, de la AEPD, relativa al ejercicio de los derechos de acceso rectificación y cancelación, anteriormente citada, al tratar de la atención al ejercicio de los derechos o la Instrucción 1/2004, de 22 de diciembre, de la AEPD, sobre publicación de sus Resoluciones en virtud de la cual, las resoluciones son publicadas por la AEPD en su página web desde el 1 de enero de 2004, por mandato de la Ley 62/2003, de 30 de diciembre, de Medidas Fiscales, Administrativas y del Orden Social que incorporó un segundo apartado al artículo 37 de la LOPD o la Instrucción 1/2006, de 8 de noviembre, de la Agencia Española de Protección de Datos, sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras. © MARíA ARIAS POU 41 LAS ENTIDADES LOCALES COMO GARANTES DE LA PROTECCIÓN DE DATOS EN LA PRESTACIÓN DE SERVICIOS DE ADMINISTRACIÓN ELECTRÓNICA Por su parte, el artículo 41 se refiere a los “órganos correspondientes de las Comunidades Autónomas”, esto es a las Agencias autonómicas de protección de datos que son competentes para controlar y vigilar el cumplimiento de la normativa en su ámbito territorial y, respecto de los ficheros de titularidad pública. De este modo, podemos concluir, aunque ya lo he repetido en varias ocasiones, que la AEPD es competente en materia de ficheros de titularidad privada en todo el ámbito nacional y de los ficheros de titularidad pública, ficheros de las Administraciones Públicas creados en el desarrollo y para el cumplimiento de sus funciones públicas, en aquellos territorios en los que no se haya creado una Agencia autonómica. Hasta el momento, se han creado, como ya he comentado, tres Agencias autonómicas: 43 - Agencia de Protección de Datos de la Comunidad de Madrid , - Agencia Catalana de Protección de Datos44, y - Agencia Vasca de Protección de Datos45. Estas agencias tienen una importante labor de concienciación del sector público en materia de protección de datos, son muchas las actuaciones que realizan en este sentido y uno de sus principales ámbitos de actuación los forman las entidades locales a las que estoy dedicando este análisis. En este sentido y a modo de ejemplo podemos señalar la Recomendación 1/2004, de 14 de abril, de la Agencia de Protección de Datos de la Comunidad de Madrid, sobre la utilización y tratamiento de datos del padrón municipal por los Ayuntamientos de esta Comunidad Autónoma46 6.3. Potestad de inspección de las autoridades de control Los procedimientos de que conoce la AEPD o las Agencias Autonómicas despiertan en los responsables de los ficheros, como son las entidades locales, una gran inquietud desde el momento en el que implican un presunto incumplimiento de la normativa de protección de datos por su parte. El artículo 40 de la LOPD “1. Las autoridades de control podrán inspeccionar los ficheros a que hace referencia la presente Ley, recabando cuantas informaciones precisen para el cumplimiento de sus cometidos. A tal efecto, podrán solicitar la exhibición o el envío de documentos y datos y examinarlos en el lugar en que se encuentren depositados, así como inspeccionar los equipos físicos y lógicos utilizados para el tratamiento de los datos, accediendo a los locales donde se hallen instalados. 2. Los funcionarios que ejerzan la inspección a que se refiere el apartado anterior tendrán la consideración de autoridad pública en el desempeño de sus cometidos. Estarán obligados a guardar secreto sobre las informaciones que conozcan en el 43 La página web de la Agencia de Protección de Datos de la Comunidad de Madrid es www.madrid.org/apdcm. 44 La página web de la Agencia de Protección de Datos catalana es www.apdcat.net. 45 La página web de la Agencia de Protección de Datos vasca es www.avpd.euskadi.net/s04-4319/es/ a la que también se puede acceder desde la dirección www.avpd.es. 46 Aprobada por Resolución del Director de la Agencia de Protección de Datos de la Comunidad de Madrid con fecha 14 de abril de 2004. (BOCM 104 de 3 de mayo). © MARíA ARIAS POU 42 LAS ENTIDADES LOCALES COMO GARANTES DE LA PROTECCIÓN DE DATOS EN LA PRESTACIÓN DE SERVICIOS DE ADMINISTRACIÓN ELECTRÓNICA ejercicio de las mencionadas funciones, incluso después de haber cesado en las mismas.” Esta potestad de inspección da lugar a dos tipos de inspecciones, las sectoriales que se caracterizan porque analizan un sector de actividad para comprobar cómo se cumple en él la normativa sobre protección de datos y las inspecciones que derivan de denuncias o reclamaciones o de órdenes del Director de la Agencia competente que persiguen determinar si los hechos denunciados dan lugar o no a la apertura de un procedimiento sancionador. Las primeras inspecciones dan lugar a recomendaciones de la Agencia, mientras que las segundas pueden concluir con una sanción al responsable del fichero. También, mencionar brevemente los dos tipos de procedimientos de los que conocen estos órganos competentes para vigilar el cumplimiento de la normativa sobre protección de datos. Estos son, de un lado, el procedimiento sancionador, en el que se conocerán de las denuncias que se interpongan contra los responsables de los ficheros alegando incumplimiento de la LOPD y de su normativa de desarrollo, y de otro lado, el procedimiento de tutela de los derechos que interpondrán los titulares de los datos alegando incumplimiento por el responsable del fichero de su deber de atender el ejercicio de los derechos reconocidos en la Ley, derechos de acceso, rectificación, cancelación y oposición. 7. CONCLUSIONES En la recta final hacia el cumplimiento de la primera etapa en la carrera hacia la creación de la Administración electrónica, en cumplimiento de la LAECSP, este análisis ha perseguido concienciar a las entidades locales de la necesidad de observar la normativa vigente en el entorno electrónico como en el no electrónico, en especial, en materia de protección de datos de carácter personal. La aplicación de la LOPD y de su Reglamento de desarrollo, implica un control y exige una protección de la información personal que se maneja en el desarrollo de toda actividad pública. De este modo, establece unos principios de actuación cuyo cumplimiento garantiza que los datos que tratamos sean adecuados, pertinentes y no excesivos de acuerdo con la finalidad del tratamiento, que el titular de los datos haya consentido el tratamiento y haya sido informado de quién está tratando sus datos, con qué finalidad y cuáles son sus derechos en la materia. Además, establece las pautas de seguridad exigidas para proporcionar un tratamiento correcto de los datos personales. Las principales obligaciones que derivan de la protección de datos para una entidad local se pueden resumir en la de inscribir la creación, modificación o cancelación de los ficheros de datos de los que es responsable la entidad local, previa aprobación de la disposición de carácter general al efecto, en el Registro General de Protección de Datos (RGPD) de la Agencia Española de Protección de Datos (AEPD) cuando en la Comunidad Autónoma a la que pertenezca la entidad no se haya creado la Agencia de Protección de Datos Autonómica competente. La segunda obligación es la de adoptar las medidas de seguridad necesarias para garantizar la protección de los datos atendiendo a lo previsto en el Reglamento de desarrollo de la LOPD que exige como primera medida de seguridad la elaboración de un documento de seguridad por escrito que refleje las medidas concretas de seguridad con las que la entidad tiene por objeto proteger los datos. © MARíA ARIAS POU 43 LAS ENTIDADES LOCALES COMO GARANTES DE LA PROTECCIÓN DE DATOS EN LA PRESTACIÓN DE SERVICIOS DE ADMINISTRACIÓN ELECTRÓNICA En tercer lugar, señalar la obligación de realizar un tratamiento legal de los datos cumpliendo todos los principios de actuación previstos en la LOPD, referentes a la calidad de los datos, la información debida al titular de los datos, el consentimiento de éste como regla general para el tratamiento, la existencia de datos que requieren una especial protección, la seguridad de los datos referida y las relaciones con terceros en las que estén implicados tratamientos de datos. Podemos concluir haciendo referencia a la obligación de atender y dar respuesta, en tiempo y forma, al ejercicio de los derechos de los titulares de los datos de acceso, rectificación, cancelación y oposición. Los órganos encargados de la vigilancia y control del cumplimiento de la normativa sobre protección de datos son, en el ámbito de la Administración Pública, dos, de un lado, la Agencia Española de Protección de Datos y de otro lado, los órganos competentes de las Comunidades Autónomas o las Agencias autonómicas de protección de datos. La AEPD es competente, a efectos de ficheros de titularidad pública, en todo el territorio nacional salvo en aquellas comunidades autónomas en las que se haya creado el propio órgano competente al efecto. Las Agencias autonómicas, por su parte, son competentes en materia de ficheros de titularidad pública de la Comunidad Autónoma a la que pertenecen. Actualmente se han creado las Agencias de Protección de Datos de la Comunidad de Madrid, la Catalana y la del País Vasco. Para concluir, insistiremos en que el entorno electrónico no escapa a la normativa vigente y que las entidades locales, además de cumplir la normativa sobre protección de datos en su actividad diaria, deben observar las mismas reglas en su entorno electrónico, entre otros, en su portal web y en todos lo servicios que presten a través de medios electrónicos y así lo recoge con insistencia la LAECSP que se refiere a la protección de los datos como una de las finalidades de la Ley, como un principio general de actuación en el ámbito de la prestación de servicios de administración electrónica y como un derecho de los ciudadanos. 8. BIBLIOGRAFÍA RELACIONADA - Agencia de Protección de datos de la Comunidad de Madrid. “Protección de datos personales para administraciones Locales.” Thomson-Civitas. Madrid 2008. - ARIAS POU, M. : Artículos: • “El deber de secreto de los datos” Publicado en la Revista Ayuntamiento XXI nº 32. Abril-Mayo 2009. • “Protección de datos en la prestación de servicios sociales”. Publicado en la Revista del Consultor de Ayuntamientos y Juzgados nº 5. Marzo 2009. • “Cumplir la normativa sobre protección de datos en el entorno laboral”. Publicado en la Revista de Estudios Locales nº 113. Septiembre 2008. • “Ficheros públicos, manuales o no automatizados en la LOPD y en el nuevo Reglamento”. Publicado en la Revista del Consultor de Ayuntamientos y Juzgados nº 8. Abril 2008. © MARíA ARIAS POU 44 LAS ENTIDADES LOCALES COMO GARANTES DE LA PROTECCIÓN DE DATOS EN LA PRESTACIÓN DE SERVICIOS DE ADMINISTRACIÓN ELECTRÓNICA • “Reutilización de la información y la protección de datos”. Publicado en la Revista de Estudios Locales nº 108. Febrero 2008. • “El deber de protección de datos en las entidades locales”. Publicado en la Revista de Estudios Locales nº 104. Octubre 2007. • “Las Entidades Locales como garantes de la Protección de Datos en la prestación de servicios de Administración Electrónica”. Publicado en la Revista del Consultor de Ayuntamientos y Juzgados nº 24. Diciembre 2006. Obras en colaboración: • SUBIZA PÉREZ, I. (Coordinador) “La Protección de Datos y sus mundos” Editorial Dapp Publicaciones Jurídicas. 2009. Pamplona. Navarra. Monografías: • Manual práctico de comercio electrónico. La Ley. Madrid 2006. © MARíA ARIAS POU 45
