TODO LO QUE SIEMPRE QUISO SABER SOBRE PROTECCION DE DATOS Y TEMÍA PREGUNTAR (o cómo legalizar nuestros ficheros antes de que nos impongan una sanción) A raíz de las consultas recibidas en la Asociación, hemos creído oportuno confeccionar el siguiente documento con las cuestiones básica en relación a Protección de Datos y su aplicación a los Detectives Privados. Este documento no constituye un consejo legal, sino una mera aproximación a la normativa en materia de Protección de Datos y a las especificidades de la aplicación de la misma a los Detectives Privados. La Junta Directiva quiere señalar, con carácter previo: a) Que la normativa en materia de Protección de Datos es compleja y que no existe una aplicación “uniformizable” de la misma que sea válida para todos los despachos. b) Que el Detective Privado, en cuanto que profesional, está obligado al cumplimiento de la LOPD, su Reglamento y disposiciones derivadas; si bien la LSP supone algunas modificaciones significativas al régimen general. c) Que, en todo caso, esta materia es de especial atención por los Detectives Privados y que ignorar las disposiciones en materia de Protección de Datos puede comportar importantes sanciones económicas. d) Que el cumplimiento de la normativa es posible y sencillo; y que no existe razón para posturas alarmistas ni para la ignorancia de la misma. Para la realización de este documento hemos considerado oportuno huir de una explicación técnica o exhaustiva, en pro de la mejor comprensión de la materia y a riesgo de que algunas cuestiones no sean tratadas o lo sean sólo superficialmente. Asociación Profesional de Detectives Privados de España C/ Marqués de Urquijo 6-8, 1º, puerta B, 28008 Madrid Teléfono: +34 91 758 13 99 · Fax: +34 91 758 14 26 e-mail: [email protected] 1.- ¿Qué es la Protección de Datos de Carácter Personal? La normativa en materia de protección de datos regula los derechos de las personas físicas respecto de los datos que les afecten (de los que son “titulares”, en terminología de la Ley) y la recogida, tratamiento y cesión de los mismos por terceros. Dado que la Ley utiliza conceptos muy laxos, en resumen regula todo aquello relativo a la captación y “uso” de datos de personas físicas. En la actualidad, la normativa aplicable está integrada por las siguientes normas: • • Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. Además, la Ley otorga a la Agencia de Protección de Datos (AgPD) la facultad de emitir instrucciones y recomendaciones que serán de obligado cumplimiento. En 1999 la AgPD realizó una inspección de oficio al sector de los Detectives Privados, que dio origen a un documento de recomendaciones. No obstante, esta inspección se realizó bajo la vigencia de la extinta LORTAD y, a la vista de la aprobación de la LOPD y de las resoluciones que se citarán en este documento, no merece especial atención ahora. En todo caso, este documento ni siquiera figura entre la normativa aplicable en la web de la AgPD. Analizar la LOPD y su reglamento “en crudo” es una labor compleja. No obstante, la AgPD dispone de una excelente página web en www.agpd.es con –además de los textos legales- información esquematizada y resumida, clasificada en atención a si el visitante lo hace como ciudadano o como responsable de ficheros. Además, existen diversos cuadros resumen de tipos de datos, medidas de seguridad, formularios de inscripción de ficheros, resoluciones... en resumen, un material excelente para ampliar la información de este documento y poner en marcha el registro de los ficheros. 2.- Ambito material de aplicación: La Ley NO se limita al “tratamiento automatizado de datos” A diferencia de la antigua LORTAD, la LOPD protege al titular del dato (la persona física) y le otorga un control casi pleno sobre cualquier dato relativo a su persona. Por ello, la Ley utiliza una definición extraordinariamente laxa del término “tratamiento”, incluyendo en la práctica “cualquier cosa” que se haga con un dato relativo a una persona física. Aplicado a nuestra actividad y para 2 ver la directa aplicación de la LOPD a la misma, una investigación para identificar los bienes inmuebles propiedad de una persona física implica: a) Captación de datos, al obtenerlos del Registro de la Propiedad. b) Tratamiento de datos, al plasmarlos en un informe c) Cesión de datos, al comunicarlos a nuestro cliente. Por ello, el que un dato se obtenga de fuentes públicas abiertas (como en este caso el Registro de la Propiedad), no significa que esté excluido de la aplicación de la LOPD. A modo de resumen, la LOPD se aplica a cualquier actuación con datos de carácter personal, entendiendo éstos como cualquier dato relativo a una persona física identificada o identificable e incluye: a) Recogida de datos b) Tratamiento c) Cesión Desde el punto de vista organizativo, la LODP se aplica tanto a ficheros automatizados (es decir, en ordenador), como en cualquier tipo de soporte incluyendo papel (archivo físico de expedientes), vídeos, fotografías, cintas u otros soportes de audio, etc... Además, el término “fichero” tiene un carácter atemporal: aunque no conservemos copia de los informes, durante la realización de la investigación somos titulares responsables de un fichero. En conclusión y para aclarar algún malentendido que corre por la profesión: no existen alternativas a la aplicación de la LOPD, exceptuando la jubilación. 3.- ¿Qué obligaciones implica la LOPD?: “Legalizarse” Básicamente 3: - Operativas: modo de captación, tratamiento y cesión de datos Organizativas: registro de ficheros y modo de custodia de los datos Informativas: otorgamiento de los derechos de acceso, rectificación y cancelación de los datos por las personas titulares de los mismos (el interesado o el afectado). En este apartado nos limitaremos a la segunda (custodia de los datos), ya que en la primera y la tercera deberemos distinguir algunas cuestiones en atención a la LSP y serán tratadas más adelante. “Legalizarse” en lo referente a protección de datos significa, básicamente: 3 a) Comunicar la existencia del fichero en la AgPD. Esto NO significa comunicar los datos, sino sólo la existencia del fichero. Para ello, la AgPD dispone de un formulario en su página web. Este formulario se rellena en pocos minutos. b) Disponer del Documento de Seguridad, que regula cómo custodiaremos esos datos, quien podrá acceder a los mismos, como registraremos las posibles incidencias, etc... En la página web de la AgPD hay un modelo de documento de Seguridad, aplicable a los niveles básico y medio. 4.- ¿Qué ficheros tiene un Detective Privado? Obviamente dependerá de cada uno. No obstante, como líneas básicas: 4.1.- En tanto que empresa: - - Contabilidad (incluye los datos de personas físicas proveedoras y clientes). Todo empresario está obligado a llevar una contabilidad y, en nuestro caso, tened presente que los registradores son personas físicas (como mero ejemplo). Nóminas (en caso de tener dependientes) Clientes (activos y potenciales, para prospección comercial) 4.2.- En tanto que detective privado: - Libro de registro Expedientes (entendido como un único fichero y comprendiendo datos en soporte electrónico, papel, video, audio, fotografía ...) 5.- Nivel de seguridad de los datos La LOPD define tres niveles de seguridad aplicables a los datos, que deberán tenerse presentes a la hora de elaborar el Documento de Seguridad. a) Básico: es el nivel estándar, cuando no exista ningún otro aplicable. b) Medio: aplicable cuando los datos se refieran a infracciones administrativas o penales o cuando del conjunto de los mismos se pueda confeccionar un perfil de la persona. Entendemos que este es el nivel aplicable, por omisión, al fichero “Expedientes” de los Detectives Privados. c) Alto: cuando los datos incluyan cuestiones relativas a ideología, afiliación sindical, religión, creencias, origen racial, salud, vida sexual o 4 relativos a actos de violencia de género. Esto debe tenerse especialmente presente por aquello detectives que, prestando servicios para mutuas o compañías de seguros, reciban de éstas informes médicos de trabajadores o lesionados. En función del tipo de datos (de su “nivel de seguridad”), la LOPD exige mayores medidas de protección y control. Además, los datos correspondientes al nivel alto de seguridad (habitualmente referidos como datos especialmente protegidos) tienen unos requisitos especiales para su recogida, tratamiento y cesión, así como para la mera existencia del fichero. 6.- Obligaciones genéricas en tanto que empresarios: ojo, que nadie se alarme por este punto. Al margen de nuestra actividad como DPs, estamos obligados al cumplimiento de las disposiciones comunes a todo titular de un fichero. Básicamente: a) Sólo podemos recoger y/o almacenar datos cuando sea necesario para la actividad que desarrollemos. A modo de ejemplo: es lícito tener un fichero de clientes, de proveedores, de nóminas... pero no lo sería tenerlo de miembros de un sindicato (salvo que fuéramos el propio sindicato), o de personas de raza asiática. b) La recogida de datos debe realizarse con el consentimiento informado del titular (del afectado). Esto significa que debemos informar que estamos recogiendo un dato, lo que haremos con él (lo más común sería incorporarlo a un fichero), quienes somos nosotros (el titular del fichero) y dónde y cómo puede ejercer los derechos de acceso, rectificación y cancelación (en adelante: ARC). La ley “excluye” esta obligación cuando la recogida del dato sea evidente: p.e. cuando contratamos a un trabajador, cuando emitimos una factura, cuando recibimos una factura... c) El tratamiento de los datos debe ser igualmente lícito: necesario o propio para nuestra actividad. En caso de “prospección comercial” (por ejemplo, maillings comerciales) debe señalarse el origen del dato y la posibilidad de ejercer los derechos de ARC. Esto no es más que la habitual coletilla en todo envío comercial. d) No se pueden ceder los datos a un tercero sin el consentimiento previo del interesado, salvo que una ley obligue a ello (por ejemplo Hacienda, Seguridad Social, etc...) e) Los datos deben ser destruidos cuando ya no sean de utilidad. 5 f) Debemos dar acceso a los datos cuando el titular del mismo (la persona a quien se refieren) nos lo solicite, así como rectificar aquellos que se nos prueben erróneos y borrarlos cuando así se nos solicite (fuera de los casos, obviamente, en que la conservación del dato venga exigida por la Ley: Hacienda, Seguridad Social, Contabilidad, documentación legal...) Estas materias, junto con otras, estarán recogidas en el Documento de Seguridad. 7.- Especiales consideraciones en cuanto que Detectives Privados. Lo dicho hasta el momento es de aplicación a todo empresario o profesional y su cumplimiento no supone ningún problema (aunque sí algunas “incomodidades” organizativas). No obstante, el principal conflicto con la actividad del DP aparece en relación a la recogida, tratamiento y cesión de datos relativos a las investigaciones; y al reconocimiento de los derechos de ARC. Del régimen general se desprendería que, previamente a iniciar una investigación deberíamos solicitar el consentimiento informado del investigado. Igualmente, del mismo régimen general resultaría que, si un investigado acude a nuestro despacho, deberíamos comunicarle todos los datos que tenemos sobre el mismo. Esto es, obviamente, absurdo. Desde la promulgación de la LOPD, la Asociación ha tenido contactos con la AgPD, para exponerle la realidad de nuestra profesión y su regulación legal. Fruto en parte de esta labor, así como del trabajo de documentación legal de la Inspección de Datos, la AgPD ha dado una respuesta satisfactoria al evidente conflicto entre la LSP y la LOPD, reiterada en varias resoluciones. Sintetizando: a) El art. 19 de la LSP (y 101 RSP: funciones de los Detectives Privados), con el límite del art. 23.c LSP (prohibición de medios materiales o técnicos que atenten contra el derecho al honor, a la intimidad personal o familiar) es una excepción legal al deber de obtener el consentimiento informado previo a la recogida, tratamiento y cesión de datos personales. Esto está recogido en las resoluciones E-00128-2004 y E00778-2005 (disponibles en la zona de asociados de la web www.apdpe.es) b) En atención a los art. 3.3 LSP y 103 RSP (ambos relativos al carácter reservado de las investigaciones) el DP no puede otorgar al interesado los derechos de ARC. No obstante, sí debe recibir la petición y 6 contestarla (en el plazo máximo de 1 mes), indicando que “no procede acceder a lo solicitado en atención a lo dispuesto en la Ley 23/1992 de Seguridad Privada y su Reglamento, artículos 3.3 LSP y 103 RSP”. Esto está recogido en la resolución R-00092-2004 (disponible en la zona de asociados de la web de la Asociación) Lo anterior permite cohonestar la aplicación de la LOPD con la LSP y, en definitiva, permite la realización de las funciones propias de los DPs con las debidas garantías de reserva de las mismas. 8.- Especial consideración a la subcontratación de colaboradores (autónomos) y al acceso a datos por cuenta de terceros. El art. 12 de la LOPD regula el tratamiento de datos ajenos por cuenta del titular del fichero. El ejemplo más claro son las gestorías que, por cuenta de su cliente, elaboran las nóminas o llevan la contabilidad. Básicamente dispone que el “proveedor” no es titular de los datos, que deberá existir un contrato que lo regule y que deberán establecer el nivel de seguridad adecuado a los datos tratados. En nuestro sector hay 2 casos evidentes de aplicación: a) La contratación de detectives autónomos como colaboradores en investigaciones. En este caso, el colaborador tiene acceso a los datos de nuestro “fichero” (los datos del caso). b) La recepción de datos de clientes para la prestación de servicios, especialmente cuando esta recepción es de carácter “masivo” o respecto de datos especialmente protegidos (por ejemplo, informes médicos en temas de mutuas o compañías de seguros). En la web de la Asociación, zona de asociados, existen contratos tipo para que aquellos que contratéis detectives colaboradores podáis suscribir los contratos oportunos. No obstante, en la línea de lo ya apuntado en el apartado introductorio de este documento, estos “contratos” son meros modelos y es responsabilidad de cada Detective verificar la adecuación de los mismos a la legalidad vigente y a las circunstancias particulares de cada uno. La existencia de contrato (escrito o fehaciente por otro medio válido) es obligada (art. 12.2 LOPD) 7 9.- Una cuestión final: ¿Porqué “legalizarse”? En primer lugar, porque es una obligación y el ejercicio ordenado de cualquier actividad exige el cumplimiento de las disposiciones legales aplicables. Además, del grado de cumplimiento de todos nosotros depende la imagen que, como sector, demos ante la propia AgPD. En estos momentos nuestra imagen es la de un sector regulado y legal, como evidencian las resoluciones citadas. Un incumplimiento sistemático y generalizado puede dar al traste con esta imagen. Por si lo anterior no fuera suficiente, la creación (la mera existencia) de un fichero no registrado en la AgPD está sancionado como infracción y penado con multa de 600 a 60.000 euros. Sólo por el hecho de que nuestro cliente aporte un informe como prueba en un Juzgado, el investigado dispone de la prueba necesaria de que el DP autor del informe ha recogido, tratado y cedido datos personales de los cuales es titular. Si el investigado interpone denuncia, lo primero que hará la AgPD es verificar si ese DP tiene sus ficheros registrados. De no ser así, la sanción es automática. Como comprenderéis, resulta absurdo estar protegidos de la parte más compleja de la regulación (recogida, tratamiento y cesión) y ser sancionado por no cumplir con un mero trámite administrativo. 10.- ¿Y ahora qué? Ahora es el momento de registrar tus ficheros, si todavía no lo has hecho. Si eres un detective individual y no tratas datos especialmente protegidos (los correspondientes a nivel alto de seguridad), con la información de este documento y la existente en la página web de la AgPD puedes cumplimentar todos los documentos de registro y elaborar el documento de seguridad. Ten presente que el registro de determinados ficheros (nominas, contabilidad, clientes...) está predefinido. Si eres una agencia o tratas datos especialmente protegidos, te recomendamos que solicites el asesoramiento de una empresa especializada en esta materia. Actualmente hay empresas que ofrecen unos precios muy razonables y se encargan por ti de todos los trámites y, lo más importante, el análisis de legalidad de los datos de que dispones y la confección del documento de seguridad. Octubre de 2009 8