Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

Pagina 93 de 656

Anuncio 
Pagina 93 de 656
2. Derecho de información en la recogida de datos
La documentación en soporte papel o en soporte electrónico debe conservarse mientras dure el tratamiento de datos y, una vez finalizado éste, hasta que transcurran los plazos de prescripción de acciones
derivados del tratamiento.
art. 5, art. 12, art. 47 LOPD; art. 18 RLOPD
2.17.
Cumplimiento del deber de información
C. La empresa responsable del fichero omitió su deber de información en la recogida de datos de carácter
personal, ¿es posible subsanar con posterioridad el cumplimiento del deber de información?
S. La subsanación de la omisión de cumplir con el derecho de información es posible, es necesario precisar
que el cumplimiento debe efectuarse en el mismo momento en que se recaban lo datos, sirviendo la
comunicación posterior de subsanación de aquello que no se hizo en su momento.
El artículo 5.1 de la LOPD establece que Los interesados a los que se soliciten datos personales deberán
ser previamente informados de modo expreso, preciso e inequívoco:
a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la
recogida de éstos y de los destinatarios de la información.
b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.
La Audiencia Nacional ha analizado el efecto probatorio de la notificación a los interesados del tratamiento de sus datos personales en su Sentencia de 24 de enero de 2003 (rec. 400/2001), de la que se
desprenden las siguientes consecuencias:
- La mera contratación de un medio independiente para la notificación no acredita más que la existencia
del contrato, pero no que se ha hecho el envío.
- La prueba del envío de una notificación no acredita por sí misma su recepción por el afectado.
- Si el destinatario niega la recepción, la carga de la prueba del envío recae sobre el responsable del
tratamiento.
- El que se hayan efectuado otras notificaciones al afectado no es suficiente para probar la notificación
del "documento" respecto del cual se niega la recepción.
En consecuencia, la Audiencia Nacional viene a reconocer que, sin perjuicio de que la carga de la prueba
de la notificación corresponde al responsable del fichero, será suficiente para lograr esa acreditación la
aportación de indicios suficientes que coadyuven a entender cumplido el requisito por parte del responsable del fichero.
art. 5, art. 44 LOPD; art. 18 RLOPD; Sentencia de la AN, Sala de lo Contencioso-administrativo, Sección
1ª, 24 Ene. 2003 (Rec. 400/2001); Informe 20/2007, de 26 de marzo de 2007. Inclusión en el sobre de la
documentación administrativa de aspectos que corresponden a al proposición del licitador. Defectos insubsanables; Informe Jurídico 0020/2007, de la Agencia Española de Protección de Datos. Cumplimiento
del deber de información
© CISS
1000 Soluciones de Protección de Datos - 93
Pagina 134 de 656
III. CESIÓN O COMUNICACIÓN DE DATOS
Por lo tanto, en el caso de negligencia de la persona encargada de la custodia de la base de datos que
implique una revelación de los mismos, no estaríamos propiamente ante una cesión de datos, sino más
bien ante una comunicación de los mismos, pero las consecuencias jurídicas serían idénticas.
art. 3 i) LOPD; art. 5.1 c) RLOPD; Resolución R/00192/2005, de 30 de marzo de 2005, de la Agencia
Española de Protección de Datos. Procedimiento Nº AAPP/00016/2004; Resolución R/00089/2005, de 22
de marzo de 2005, de la Agencia Española de Protección de Datos. Procedimiento Nº AAPP/00026/2004
1.6.
Operaciones societarias
C. En una operación societaria de fusión o escisión ¿hay cesión de datos? ¿Cómo debe proceder el titular
de la empresa absorbente para ajustarse a lo dispuesto en la LOPD?
S. Hasta el momento de aprobación del RLOPD, las situaciones que se daban en las transacciones empresariales u operaciones societarias podían plantear dudas con respecto a si se producía una cesión de
datos de carácter personal. Es obvio que si hay una transmisión empresarial en la que se compra parte
de la totalidad o se ceden activos, existe una cesión en la que el original responsable del fichero o
tratamiento, quien había obtenido el consentimiento, desaparece y uno nuevo, ya sea el adquirente o la
sociedad resultante en caso de operaciones societarias, pasa a ser responsable del fichero o tratamiento.
Así nos encontramos con que la propia mecánica de la operación societaria o de la concreta transacción
empresarial significa, de hecho, la existencia de una cesión de datos que plantea diversas cuestiones
como si es necesario la obtención del consentimiento previo de los interesados, si el cesionario está
legitimado para tratar los datos y, en definitiva, qué acciones o soluciones cabe aplicar ante estas situaciones.
El RLOPD, en su artículo 19, recoge dichos supuestos y dispone que, aun cuando se produzca una
modificación del responsable del fichero como consecuencia de una operación de fusión, escisión, cesión
global de activos y pasivos, aportación o transmisión de negocio o rama de actividad empresarial, o
cualquier operación de reestructuración societaria de análoga naturaleza, contemplada por la normativa
mercantil, no se producirá cesión de datos, sin perjuicio del cumplimiento por el responsable de lo
dispuesto en el artículo 5 de la LOPD.
En los casos de cualquiera de las operaciones societarias o mercantiles por las cuales se adquiere la
condición de responsable del fichero o tratamiento, se deberá tener en cuenta si en su momento el
entonces responsable del fichero, realizó correctamente la recogida de datos y obtuvo el consentimiento
informado, facilitando la información a los interesados. En caso contrario, la falta de legitimación para
el tratamiento se traslada al nuevo responsable quién debería de haber adoptado las cautelas necesarias
en el proceso (aprovisionamiento o garantías por estas contingencias) de la operación mercantil o societaria.
Por ello, el nuevo responsable del fichero deberá proceder, cuando los datos no se han obtenido directamente del afectado, a efectuar la comunicación a los interesados con los extremos requeridos por el
artículo 5 LOPD y, en el caso comentado, proceder a recabar el consentimiento, salvo cuando este haya
de ser expreso, utilizando el procedimiento establecido por el artículo 14 RLOPD.
art. 19 LOPD
134
© CISS
Pagina 199 de 656
1. Derechos de las personas
procedimiento adecuado para esa cancelación o rectificación y la improcedencia de seguir, para dichos
trámites, el procedimiento establecido en la LOPD.
En este sentido reproducimos el FD Séptimo de la Resolución 00767/2007, recaída en el procedimiento
de tutela de derechos señalado con el número 00235/2007, que dice que: "El Registro se rige por la
normativa específica citada para proceder a la cancelación de los antecedentes y ha quedado acreditado
que tramitó, de acuerdo a dicha normativa, la cancelación solicitada por el reclamante de las causas
5/90 y 1/92. Sin embargo, tal como recoge el artículo 2.3 de la LOPD, también dicho fichero debe
regirse, en su caso, por esta Ley Orgánica. Así las cosas, el citado Registro, de acuerdo a la LOPD,
debió contestar la solicitud del reclamante en el plazo indicado en el artículo 16 de la LOPD, señalándole la normativa específica que afecta a los datos personales contenidos en ese fichero y su especial
tramitación. Por tanto, aunque el Registro tramitó debidamente la cancelación de antecedentes del
reclamante, no contestó a la solicitud de cancelación de datos personales efectuada por éste, de acuerdo
a la LOPD, tal como está previsto en el mencionado artículo 15.3 del Real Decreto 1332/1994. Por ello
procede estimar, por motivos formales, la presente reclamación de Tutela de Derechos".
art. 13 ss) LOPD; art. 25.8 RLOPD; Resolución R/00767/2007, de 10 de agosto de 2007, de la Agencia
Española de Protección de Datos. T.D.Nº TD/00235/2007; Resolución R/00051/2007, de 16 de febrero de
2007, de la Agencia Española de Protección de Datos. T.D.Nº TD/00446/2006
1.13.
Ejercicio de derechos por parte de una persona de la que no se disponen datos
C. En el caso de ejercicio del derecho de acceso o de cancelación por parte de una persona de la que no
se disponen datos de carácter personal, ¿tiene el responsable del fichero obligación de atender su
solicitud?
S. Según el artículo 25.2 RLOPD: "El responsable del tratamiento deberá contestar la solicitud que se le
dirija en todo caso, con independencia de que figuren o no datos personales del afectado en sus ficheros".
Esta misma conclusión fue sentada por la AEPD, con anterioridad a la aprobación del Reglamento, en
resoluciones como la Resolución 320/2007 que declara que: "el responsable del fichero debió, una vez
recibida la solicitud de cancelación del reclamante, contestarle en el plazo de 10 días, con independencia de que figuren o no datos del reclamante en sus ficheros (...)".
Por lo tanto, y aunque no consten datos personales del interesado en los ficheros del responsable, éste
tendrá la obligación de contestar toda solicitud que le dirija un interesado en ejercicio de sus derechos
de acceso, rectificación, cancelación y oposición. Y si no lo hace, puede verse requerido por la AEPD
en un procedimiento de tutela de derechos, aunque no disponga de datos personales del interesado cuya
petición no ha atendido.
art. 13 ss) LOPD; art. 25.2 RLOPD; Resolución R/00320/2007, de 29 de mayo de 2007, de la Agencia
Española de Protección de Datos. T.D.Nº TD/00006/2007
1.14.
Ejercicio de derechos sin los requisitos necesarios
C. En caso de duda sobre la identidad del reclamante, ¿hay que atender su solicitud de derecho de acceso
o rectificación?
S. Según el artículo 25.3 RLOPD: "En el caso de que la solicitud no reúna los requisitos especificados en
el apartado primero, el responsable del fichero deberá solicitar la subsanación de los mismos".
© CISS
1000 Soluciones de Protección de Datos - 199
Pagina 228 de 656
V. DERECHOS DE LAS PERSONAS
8.10.
Acción de indemnización. Fichero de solvencia patrimonial sin requerimiento de pago
C. La inclusión de los datos en un fichero de solvencia patrimonial sin efectuar un requerimiento previo
de pago, ¿puede producir el nacimiento del derecho de indemnización para el afectado?
S. El hecho de no haber acreditado que se efectuó un requerimiento previo de pago, anterior a la cesión de
los datos del deudor para su inclusión en un fichero de solvencia patrimonial, se entiende no sólo como
contravención de un requisito exigido por la norma sino un ejercicio contrario a los requisitos de la
buena fe.
El artículo 38.1.c) RLOPD exige, como uno de los requisitos para la inclusión de los datos en este tipo
de ficheros, acreditar haber efectuado previamente un requerimiento de pago a quien corresponda el
cumplimiento de la obligación.
Con anterioridad a la promulgación del RLOPD, la Instrucción 1/1995, de 1 de marzo dictada por la
AEPD, ya establecía este requisito.
La contravención de este requisito legal producirá el nacimiento del derecho de indemnización a favor
del afectado, debiendo acreditar, eso sí, el perjuicio real causado.
art. 19 LOPD; LEC; art. 38.1 c) RLOPD; Sentencia de la AP Segovia, 25 Abr. 2002 (Rec. 78/2002)
8.11.
Acción de indemnización. Cesión errónea de datos personales
C. ¿La errónea cesión de los datos personales puede producir el nacimiento del derecho de indemnización
para el afectado?
S. La utilización de forma errónea del número de Documento Nacional de Identidad del afectado al atribuir
por parte de la entidad demandada su número a una persona de otra nacionalidad que coincidía con su
carta de identidad, provocó la actividad investigadora de la AEPD que concluyó con una sanción.
La SAP de Cádiz de 15 de octubre de 2002 (rec. 393/2002) concluye que evidentemente se ha causado
un perjuicio "De nuevo el principio dispositivo nos vincula a los hechos y a la causa de pedir. La mera
constatación de las numerosas actividades y gestiones que la actora realizó como consecuencia de un
hecho por completo ajeno a ella e imputable a la demandada supone la existencia de un inequívoco
daño o perjuicio cuando menos de índole moral, aunque no haya quedado probado la denegación de
alguna operación mercantil por esta causa. La actora, ante el desconocimiento de lo sucedido y la
inequívoca sensación de injusticia sufrida, formuló denuncias ante la jurisdicción penal y la Agencia
de Protección de Datos, además de una serie de contactos con la propia demandada. Estos hechos san
narrados en la demanda y se han considerado acreditados, por lo que no existe apartamiento alguno
por parte de la juzgadora de instancia respecto de la reclamada por la actora: la indemnización de
perjuicios causados por la actuación de la demandada. Que esos perjuicios sean de índole material a
moral es cuestión valorativa que entra en el ámbito de decisión del juzgador, conforme -se reitera- al
principio iura novit curia. No puede decirse que en la demanda ni siquiera se alegan tales perjuicios
morales, cuando los mismos son fácilmente deducibles del rosario de acciones y gestiones efectuados
por la demandada para paliar las consecuencias de la ligereza en la actuación de la demandada".
art. 19 LOPD; LEC; art. 38.1 c) RLOPD; Sentencia de la AP Cádiz, Sección 7ª, 15 Oct. 2002 (Rec. 393/2002)
228
© CISS
Pagina 229 de 656
8. Derecho de indemnización
8.12.
Acción de indemnización. Derecho al honor, a la intimidad y a la propia imagen
C. ¿La acción de indemnización es autónoma o puede considerarse como parte de la defensa del derecho
al honor, a la intimidad y a la propia imagen?
S. La verdad es que se pueden encontrar sentencias que no delimitan ambas acciones, la que corresponde
al artículo 19 LOPD y la que corresponde al artículo 9 LO 1/1982, de 5 de mayo, de Protección Civil
del Derecho al Honor, a la intimidad Personal y Familiar y a la Propia Imagen (LO 1/1982). Sin embargo,
la tutela de los derechos lesionados como consecuencia de la vulneración de lo dispuesto en la LOPD
puede encauzarse desde el punto de vista sustantivo bien por la LOPD o bien al amparo de la LO 1/1982,
cuando se trate de intromisiones ilegítimas que afectan a los derechos fundamentales al honor o a la
intimidad personal.
Es frecuente que se invoquen ambas conjuntamente en las reclamaciones y se citen asimismo en las
resoluciones judiciales, si bien, su ámbito es diferente.
A modo ilustrativo puede verse de este extracto de la SAP de Badajoz de 29 de abril de 2004 (rec.
184/2004):
"(...) los perjuicios morales y patrimoniales causados al actor al vulnerar la demandada la normativa
reguladora de la protección de datos de carácter personal. Tal normativa implica una manifestación
más de la defensa del derecho al honor, a la intimidad y a la propia imagen".
La acción ex artículo 19 LOPD es autónoma, sin embargo, si la vulneración de la LOPD ha producido
una intromisión ilegítima que afecta al derecho fundamental al honor o a la intimidad personal y familiar,
deberá accionarse por el cauce de la LO 1/1982.
art. 19 LOPD; art. 7, art. 9 LO 1/1982 de 5 May.; LEC; RLOPD; Sentencia de la AP Badajoz, Sección 2ª,
29 Abr. 2004 (Rec. 184/2004)
8.13.
Acción de indemnización del artículo 19 LOPD
C. ¿El derecho a indemnización del artículo 19 LOPD tiene carácter contractual o extracontractual?
S. Tiene carácter extracontractual. El artículo 1902 CC es el cauce adecuado para la tutela civil genérica
frente a cualquier posible lesión patrimonial ocasionada como consecuencia de actos u omisiones interviniendo culpa o negligencia, cuando éstos no se refieran a la vulneración de derechos fundamentales
(en cuyo caso habría que acudir a la LO 1/1982), sino de bienes jurídicos de distinta naturaleza, esto es,
daños y perjuicios de índole patrimonial.
art. 19 LOPD; art. 7, art. 9 LO 1/1982 de 5 May.; LEC; RLOPD; art. 1902 CC
8.14.
Legitimación pasiva
C. En el caso de vulneraciones de la LOPD que produzca un daño o lesión en los bienes y derechos del
afectado, con motivo de su inclusión indebida en un fichero de solvencia patrimonial y de crédito,
¿contra quién se ha dirigir la demanda?, ¿contra la entidad acreedora cedente de los datos o contra
la que es titular del fichero o contra ambas?
S. Las reclamaciones suelen dirigirse bien frente a la entidad acreedora cedente de los datos (operadores
de telefonía, entidades financieras, etc.) o bien frente a la entidad titular del fichero cesionaria a quien
le han comunicado los datos las entidades antes mencionadas, o a ambas.
© CISS
1000 Soluciones de Protección de Datos - 229
Pagina 259 de 656
1. Ficheros de titularidad pública
consecuencia, dicha Ley Orgánica vincula el carácter público de los centros con la titularidad de los
mismos. Al propio tiempo, la misma no establece en ningún lugar si los centros tendrán o no personalidad
jurídica dependiente de la correspondiente Administración Educativa, si bien especifican expresamente
los ámbitos en que los mismos gozarán de autonomía pedagógica, organizativa y de gestión económica
(arts. 120 y ss. de la Ley Orgánica).
La AEPD, analizando las diferentes normas de las Comunidades Autónomas reguladoras de la enseñanza
no universitaria, llega a la conclusión de que, dado que únicamente se establece el carácter público de
los centros de enseñanza públicos, a sensu contrario cabe deducir que el resto de los Centros de Enseñanza, que no son de titularidad pública, han de reputarse como centros privados.
Por ello concluye la AEPD en el Informe 501/2005 que, cuando los Centros Educativos de Enseñanza
se encuentren integrados orgánicamente en la Administración autonómica, será ésta la obligada al cumplimiento de las obligaciones que respecto de los ficheros de titularidad pública impone la LOPD,
debiendo la misma adoptar la correspondiente disposición de carácter general y proceder a la notificación
de los tratamientos al Registro General de Protección de Datos, en la que se hará constar que el Centro
es el lugar de ubicación del fichero.
Por el contrario, en el resto de los casos, es decir Colegio Privado, aunque sean concertados, el responsable del fichero será el propio Centro, correspondiendo al mismo la notificación del tratamiento al
Registro General de Protección de Datos de la AEPD, de acuerdo con lo dispuesto por el artículo 26
LOPD.
LO 10/2002 de 23 Dic.; art. 3 d), art. 26 LOPD; art. 5.1 g) RLOPD; Informe Jurídico 0501/2005, de la
Agencia Española de Protección de Datos. Naturaleza de los ficheros de un Colegio Privado Concertado.
1.35.
Fotografías de alumnos
C. ¿Vulnera la LOPD el hecho de tomar fotografías de alumnos en centros escolares?
S. Siendo la imagen un dato personal, la toma de fotos de los alumnos efectuada por el colegio constituye
un tratamiento de datos personales, tal y como prevé el artículo 3 de la LOPD que configura este como:
"operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida,
grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de
datos que resulten de comunicaciones, consultas, interconexiones y transferencias".
En lo que se refiere al tratamiento de datos de carácter personal, entre las obligaciones del responsable
del fichero, en el presente caso el centro escolar, está la de obtener el consentimiento del interesado para
el tratamiento o cesión de los datos y la de informar sobre los derechos que les asisten, así como sobre
la identidad y dirección del responsable y sobre el uso que se va a dar a esos datos.
En el presente caso, las imágenes tratadas afectan a un menor de edad, por lo que debe tenerse en cuenta
lo previsto en el artículo 13.1 del RLOPD, según el cual: "Podrá procederse al tratamiento de los datos
de los mayores de catorce años con su consentimiento, salvo en aquellos casos en los que la Ley exija
para su prestación la asistencia de los titulares de la patria potestad o tutela. En el caso de los menores
de catorce años se requerirá el consentimiento de los padres o tutores".
art. 3 d), art. 5, art. 6 LOPD; art. 13 RLOPD
1.36.
Publicación de fotos de alumnos en la página web del colegio
C. ¿Puede una escuela publicar fotos de sus alumnos en su página web?
© CISS
1000 Soluciones de Protección de Datos - 259
Pagina 299 de 656
3. Excepciones respecto de los ficheros de titularidad pública
consoliden en las bases de datos corporativas del Sistema de la Seguridad Social como consecuencia
del acceso informático directo a las bases de datos corporativas de otros organismos o empresas,
surtirán plenos efectos y tendrán la misma validez que si hubieran sido notificados, por dichos organismos o empresas mediante certificación en soporte papel".
De este precepto se desprende la existencia de un deber de colaboración, no sólo con la Administración
General de la Seguridad Social, sino también con las entidades gestoras de la misma. Este deber bastará
para considerar lícita la cesión por aplicación del artículo 11.2.a) LOPD, en conexión con el artículo 66
bis LGSS.
art. 11.1 a), art. 21 LOPD; art. 57, art. 66 bis) LGSS
3.48.
Cesión de datos a la Inspección de Trabajo
C. He recibido un requerimiento de la Inspección de Trabajo en el que me solicita datos de mis trabajadores, ¿debo atenderlo? Si le facilito los datos que me solicita, ¿vulnero el derecho a la protección de
datos de mis trabajadores?
S. Tratándose de un requerimiento efectuado por la Inspección de Trabajo en el curso de una inspección,
es preciso acudir a la Ley 42/1997, de 14 noviembre, reguladora de la Inspección de Trabajo, donde en
su artículo 11 se determina que: "1. Los empresarios, los trabajadores y los representantes de ambos,
así como los demás sujetos responsables del cumplimiento de las normas del orden social, están obligados cuando sean requeridos: a atender debidamente a los inspectores de Trabajo y Seguridad Social
y a los subinspectores de Empleo y Seguridad Social; a acreditar su identidad y la de quienes se encuentren en los centros de trabajo; a colaborar con ellos con ocasión de visitas u otras actuaciones
inspectoras; a declarar ante el funcionario actuante sobre en un cuestiones que afecten a las comprobaciones inspectoras, así como a facilitarles la información y documentación necesarias para el
desarrollo de sus funciones. Quienes representen a los sujetos inspeccionados deberán acreditar documentalmente tal condición si la actuación se produjese fuera del domicilio o centro de trabajo
visitado.
2. Toda persona natural o jurídica estará obligada a proporcionar a la Inspección de Trabajo y Seguridad Social toda clase de datos, antecedentes o información con trascendencia en los cometidos
inspectores, siempre que sean financieras con terceros sujetos a la acción inspectora, cuando a ello
sea requerida en forma (...)".
De lo establecido en el precepto citado parece desprenderse que la comunicación de los datos requeridos
se encontraría amparada en una norma con rango de Ley que la habilitaría, siendo la misma conforme
a lo dispuesto en el artículo 11.2 a) LOPD.
art. 11.2 a), art. 21 LOPD; art. 11 L 42/1997 de 14 Nov.
3.49.
Cesión de datos a las Mutuas de Accidentes de Trabajo
C. Cuando un empresario remite los partes de baja de sus trabajadores a la Mutua de Accidentes de
Trabajo, ¿está vulnerando la LOPD? ¿Debe recabar para ello el consentimiento del trabajador?
S. El Real Decreto 575/1997, de 18 de abril por el que se regulan determinados aspectos de la gestión y
control de la prestación económica de la Seguridad Social por incapacidad temporal, señala en su artículo
1 que: "1. Todo parte médico de baja irá precedido de un reconocimiento médico del trabajador que
permita la determinación objetiva de la incapacidad temporal para el trabajo habitual, a cuyo efecto
el médico requerirá al trabajador los datos necesarios que contribuyan a precisar la patología objeto
© CISS
1000 Soluciones de Protección de Datos - 299
Pagina 333 de 656
3. Excepciones respecto de los ficheros de titularidad pública
representación que ostentan quienes actúen electrónicamente ante ellos en nombre de terceros. Cada
Departamento Ministerial y organismo público determinará los trámites y actuaciones de su competencia para los que sea válida la representación incorporada al registro de apoderamientos. Además,
caso de entender que hay falta o insuficiencia de la representación formalmente incorporada al registro
de apoderamientos podrá requerir al interesado la correspondiente subsanación en los términos del
artículo 32.4 de la Ley 30/1992, de 26 de noviembre, o en los términos que resulten de la normativa
específica de aplicación. A efectos de su incorporación al registro electrónico de apoderamientos y
demás aspectos relativos a su funcionamiento, mediante orden del Ministro de la Presidencia se concretará el régimen de otorgamiento de los apoderamientos, sus formas de acreditación, ámbito de
aplicación y revocación de los poderes, así como la forma y lugar de presentación de los documentos
acreditativos del poder".
art. 11, art. 21 LOPD; art. 10 RD 1671/2009 de 6 Nov.
3.100. Certificados electrónicos
C. ¿Qué es un certificado electrónico?
S. Un certificado electrónico es un documento firmado electrónicamente por un prestador de servicios de
certificación que vincula datos de verificación de firma a un firmante y confirma su identidad. El firmante
es la persona que posee un dispositivo de creación de firma y que actúa en nombre propio o en nombre
de una persona física o jurídica a la que representa.
El artículo 13 de la Ley 11/2007, de acceso electrónico de los ciudadanos a los servicios públicos, admite
como medios de identificación y autenticación de los ciudadanos en sus relaciones con la administración
electrónica, además de la firma digital incorporada al DNI electrónico y la firma digital avanzada, los
sistemas de firma electrónica avanzada basados en un certificado reconocido. Lo que debemos entender
por certificado electrónico reconocido nos lo viene a decir el artículo 11 de la Ley 59/2003, de firma
electrónica, que los define como aquellos certificados electrónicos "expedidos por un prestador de
servicios de certificación que cumple los requisitos establecidos en la Ley en cuanto a la comprobación
de la identidad y demás circunstancias de los solicitantes y a la fiabilidad y las garantías de los servicios
de certificación que presten".
Por lo tanto, los certificados electrónicos son los documentos expedidos por los prestadores de servicios
de certificación que relacionan las herramientas de firma electrónica de cada usuario con su identidad,
dándole a conocer como firmante en el ámbito telemático.
art. 11, art. 21 LOPD; art. 13 L 11/2007 de 22 Jun.; art. 11 L 59/2003 de 19 Dic.
3.101. Diferencia entre certificado electrónico y firma digital
C. ¿Es lo mismo la firma digital que un certificado electrónico?
S. En términos coloquiales podríamos decir que el certificado electrónico equivale al DNI mientras que la
firma digital equivale a la firma manuscrita.
El certificado electrónico es un documento electrónico que identifica a una persona. Cuando al acceder
a una página web el sistema me pide que me identifique con mi certificado electrónico y lo hago, el
sistema se fía de que "yo soy yo" y en base a esa confianza me otorga determinados permisos de acceso
e interacción. Lo anterior muestra un paralelismo con lo que hace el DNI de toda la vida cuando nos
identificamos frente a terceros.
© CISS
1000 Soluciones de Protección de Datos - 333
Pagina 396 de 656
VII. NOTIFICACIÓN E INSCRIPCIÓN DE FICHEROS
4.3.
Plazo para la notificación de un fichero de titularidad pública
C. ¿Cuál es el plazo para la inscripción de un fichero de titularidad pública?
S. Según el artículo 55.1 RLOPD: "Todo fichero de datos de carácter personal de titularidad pública será
notificado a la Agencia Española de Protección de Datos por el órgano competente de la Administración
responsable del fichero para su inscripción en el Registro General de Protección de Datos, en el plazo
de treinta días desde la publicación de su norma o acuerdo de creación en el diario oficial correspondiente".
Así pues, a diferencia de los ficheros de titularidad privada, que deben inscribirse en el RGPD con
carácter previo a su creación, en el caso de ficheros de titularidad pública el plazo es de un mes desde
la publicación de la disposición general.
art. 55.1 RLOPD; R Agencia Española de Protección de Datos 8 Sep. 2006; R Agencia Española de Protección de Datos 12 Jul. 2006; R Agencia Española de Protección de Datos 12 Jul. 2006; R 30 May. 2000
5.
5.1.
NOTIFICACIÓN DE FICHEROS ESPECIALES
Notificación de ficheros en distintos soportes
C. Tengo copia en papel de todos los ficheros existentes en la empresa, ¿debo notificarlos por separado
o basta inscribir el fichero automatizado?
S. Según el artículo 56 RLOPD: "La notificación de un fichero de datos de carácter personal es independiente del sistema de tratamiento empleado en su organización y del soporte o soportes empleados para
el tratamiento de los datos. Cuando los datos de carácter personal objeto de un tratamiento estén
almacenados en diferentes soportes, automatizados y no automatizados o exista una copia en soporte
no automatizado de un fichero automatizado sólo será precisa una sola notificación, referida a dicho
fichero".
Por lo tanto, no es necesario que proceda a la inscripción por duplicado de cada fichero. Ahora bien,
según el artículo 55.2 RLOPD uno de los aspectos que se debe hacer constar en la notificación del fichero
es el relativo al sistema de tratamiento empleado, es decir, si la información está organizada de forma
automatizada o manual, o parcialmente automatizada (sistema mixto). Por lo tanto, no es suficiente con
inscribir el fichero automatizado, sino que deberá hacer constar, en el apartado 7º de la notificación
(Tipos de datos, estructura y organización), que el fichero es de naturaleza mixta.
art. 56 RLOPD; R Agencia Española de Protección de Datos 8 Sep. 2006; R Agencia Española de Protección
de Datos 12 Jul. 2006; R Agencia Española de Protección de Datos 12 Jul. 2006; R 30 May. 2000
5.2.
Notificación de ficheros en distintas ubicaciones
C. En mi empresa existen diversos centros de trabajo y en cada uno de ellos existente ficheros muy similares, ¿debo proceder a la inscripción de todos ellos o puedo inscribirlos una sola vez a nombre de la
empresa matriz?
S. La AEPD se pronunció respecto la posibilidad de aunar en una sola inscripción, los distintos ficheros
de una misma empresa, ubicados físicamente en distintos lugares (los varios centros de trabajo de los
que disponía esa empresa), siendo así que la información sometida a tratamiento resulta ser similar en
todos ellos, y los ficheros idénticos (Informe 368/2003).
396
© CISS
Pagina 448 de 656
X. TRATAMIENTOS SECTORIALES
1.5.
Responsable del fichero de control de acceso a edificios
C. ¿Quién tendrá la consideración de responsable de un fichero creado con los datos personales de quienes
acceden a un edifico que tiene un control de acceso?
S. En el supuesto de hecho planteado, la actuación llevada a cabo por la empresa encargada del control de
acceso depende de los criterios que previamente haya fijado la entidad propietaria del edificio, por lo
que actúa en todo caso por cuenta de ésta. En definitiva, trata los datos por cuenta del responsable que
es su cliente, siendo, por tanto, la empresa encargada del control de acceso encargada del tratamiento.
Por ello concluye la AEPD en el Informe 290/2008 que en el caso de ficheros creados con ocasión del
control de acceso a un edificio, tendrá la consideración de responsable del fichero la persona física o
jurídica, de naturaleza pública o privada, u órgano administrativo por cuya cuenta se efectúe la realización del servicio de seguridad. No obstante, mediante el correspondiente contrato de prestación de
servicios de seguridad, podrá tener la consideración de responsable del fichero la empresa que preste
los servicios de aquella naturaleza.
Ahora bien, es preciso señalar que para que las empresas que prestan este tipo de servicios tengan la
condición de encargado de tratamiento, resultará imprescindible que tengan firmado con la empresa
propietaria del edificio un contrato que recoja lo dispuesto en el artículo 12 LOPD.
art. 12 LOPD; Instrucción 1/1996 de 1 Mar.; Informe Jurídico 0290/2008, de la Agencia Española de
Protección de Datos. Las empresas encargadas del control de acceso a los edificios son encargados del
tratamiento.
1.6.
Derecho de información en la recogida de datos en controles de acceso a edificios
C. ¿Es necesario informar a los afectados, en los términos que se recogen en el artículo 5 LOPD, cuando
se les piden sus datos para poder acceder a un edificio?, ¿cómo se puede cumplir este deber?
S. Sí, es necesario informar a los afectados. Según la Norma Tercera de la Instrucción de la AEPD 1/1996,
de 1 de marzo, sobre ficheros automatizados establecidos con la finalidad de controlar el acceso a los
edificios:
"La recogida de datos efectuada para el cumplimiento de los fines a los que se refiere la presente
Instrucción deberá realizarse de conformidad con lo establecido en el artículo 5 de la Ley Orgánica
5/1992, y, en concreto, deberá informarse de la existencia de un fichero automatizado, de la finalidad
de la recogida de los datos, de los destinatarios de la información, del carácter obligatorio de su
respuesta, de las consecuencias de la negativa a suministrarlos, de la posibilidad de ejercitar los derechos de acceso, rectificación o cancelación y de la identidad y dirección del responsable del fichero".
En cuanto al modo de cumplir con este deber de información puede utilizarse un letrero informativo o
bien la información en papel impreso que se facilita a los visitantes cuando se les requiere la identificación.
art. 12 LOPD; Instrucción 1/1996 de 1 Mar.
1.7.
Datos que se pueden recabar en los controles de acceso a edificios
C. ¿Qué datos nos puede solicitar la empresa encargada del control de acceso?
448
© CISS
Pagina 471 de 656
4. Telecomunicaciones
S. Entendemos que no. El artículo 20 LSSICE exige que se incluya al comienzo del mensaje la palabra
"publicidad" o su abreviatura "publi", pero ello no significa que se deba especificar en el asunto.
art. 20 LSSICE
3.20.
Comunicaciones electrónicas no deseadas
C. Si recibo comunicaciones comerciales no deseadas por medios electrónicos, ¿qué medidas puedo
adoptar?
S. Si considera que se ha cometido una infracción de los artículos 21 o 22 de la LSSICE (correos electrónicos publicitarios o comerciales no consentidos), se deberá dirigir a la Agencia Española de Protección
de Datos ya que, según el artículo 43 LSSICE, corresponde a este organismo la imposición de sanciones
por la comisión de infracciones consistentes en el envío masivo de comunicaciones comerciales por
correo electrónico, el incumplimiento de la obligación de habilitar procedimientos sencillos y gratuitos
para que los destinatarios de servicios puedan revocar el consentimiento que hubieran prestado o el
incumplimiento de la obligación de poner a disposición del destinatario del servicio las condiciones
generales del contrato.
Si, por el contrario, considera que se ha cometido una infracción del artículo 20 de la LSSICE, deberá
dirigirse al Ministerio de Industria Turismo y Comercio ya que, según este mismo precepto citado, la
imposición de sanciones por el incumplimiento de lo previsto en esta Ley corresponderá, en el caso de
infracciones muy graves, al Ministro de Industria, Turismo y Comercio, y en el de infracciones graves
y leves, al Secretario de Estado de Telecomunicaciones y para la Sociedad de la Información.
art. 20, art. 21, art. 22, art. 43 LSSICE
4.
TELECOMUNICACIONES
4.1.
Condiciones para la prestación del servicio de comunicaciones electrónicas
C. ¿Qué servicios de telecomunicaciones requieren autorización de la Comisión Nacional de Telecomunicaciones?
S. Los requisitos y condiciones exigibles para la explotación de redes y la prestación de servicios de comunicaciones electrónicas vienen determinados en la Ley 32/2003, de 3 de noviembre, General de
Telecomunicaciones (LGT), y en el Reglamento sobre las condiciones para la prestación de servicios
de comunicaciones electrónicas, el servicio universal y la protección de los usuarios, aprobado por el
Real Decreto 424/2005, de 15 de abril (RSUT).
La LGT se basa en el principio de la libre competencia en la explotación de las redes y la prestación de
los servicios de las telecomunicaciones. Ahora bien, pese a este marco general de libertad, los interesados
en la explotación de una determinada red o en la prestación de un determinado servicio de comunicaciones electrónicas deberán, con anterioridad al inicio de la actividad, notificarlo fehacientemente a la
Comisión del Mercado de las Telecomunicaciones que les inscribirá en un registro creado al efecto que
ha sido regulado en los artículos 7 y siguientes del RSUT.
Según establece el artículo 5 de este Reglamento: "Los interesados en la explotación de una determinada
red o en la prestación de un determinado servicio de comunicaciones electrónicas deberán, con anterioridad al inicio de la actividad, notificarlo fehacientemente a la Comisión del Mercado de las
Telecomunicaciones, incluyendo la información que se señala en el apartado 5. Una vez realizada la
© CISS
1000 Soluciones de Protección de Datos - 471
Pagina 595 de 656
3. Medidas de seguridad. Disposiciones generales
En el documento de seguridad deben hacerse constar las personas habilitadas para otorgar autorizaciones
así como aquellas en las que recae dicha delegación.
art. 9 LOPD; art. 84 RLOPD
3.7.
Régimen de trabajo fuera de los locales del responsable. Ordenador portátil
C. En una firma de abogados resulta habitual que los profesionales se lleven el ordenador portátil para
trabajar. El responsable del fichero ¿debe permitirlo?
S. El responsable del fichero podrá regular el régimen de trabajo fuera de sus locales; permitirlo o denegarlo
es una potestad exclusiva del responsable. Si se realizan trabajos fuera de las dependencias del responsable, éste deberá de autorizarlo previamente y dicha autorización deberá de constar en el documento
de seguridad.
El dispositivo portátil debe garantizar el mismo nivel de seguridad correspondiente al tipo de fichero
tratado. Un ordenador portátil, por ejemplo, que no precise de identificación y autenticación para iniciar
una sesión de usuario , no estará cumpliendo con las medidas de seguridad de nivel básico y por tanto,
vulnerando esta disposición recogida en el artículo 86 RLOPD.
En el caso de una firma de abogados, con toda probabilidad las medidas de seguridad que deban aplicar
sean las de nivel medio y alto, debiendo de extremar las precauciones en los dispositivos portátiles.
art. 9 LOPD; art. 86 RLOPD
3.8.
Régimen de trabajo fuera de los locales del responsable. Expediente académico. USB
C. Los profesores del colegio tienen la costumbre de corregir exámenes en casa y se llevan en un dispositivo
de almacenamiento masivo (USB) los expedientes académicos de sus alumnos, ¿qué criterio debería
adoptar la dirección de la escuela?
S. El artículo 86 RLOPD previene lo siguiente:
"1. Cuando los datos personales se almacenen en dispositivos portátiles o se traten fuera de los locales
del responsable de fichero o tratamiento, o del encargado del tratamiento será preciso que exista una
autorización previa del responsable del fichero o tratamiento, y en todo caso deberá garantizarse el
nivel de seguridad correspondiente al tipo de fichero tratado.
2. La autorización a la que se refiere el párrafo anterior tendrá que constar en el documento de seguridad y podrá establecerse para un usuario o para un perfil de usuarios y determinando un periodo de
validez para las mismas".
La dirección deberá regular el régimen de trabajo de los profesores fuera del recinto escolar, así como
regular debidamente el almacenamiento de datos personales como el expediente académico en dispositivos portátiles. Existirá una autorización emitida por el responsable del fichero o tratamiento o por la
persona con delegación de autorización y dicha autorización deberá de constar en el documento de
seguridad.
En este caso a los datos del expediente académico del alumno, con toda probabilidad, se les deberán de
aplicar, al menos, las medidas de seguridad de nivel medio, sino las de nivel alto, de conformidad con
lo dispuesto en los artículos 81.2.f) y 82.3 RLOPD.
El dispositivo portátil ha de garantizar el mismo nivel de seguridad correspondiente al tipo de fichero
tratado. De momento, aún es común que los dispositivos de almacenamiento masivo USB no dispongan
© CISS
1000 Soluciones de Protección de Datos - 595
Pagina 599 de 656
4. El Documento de Seguridad
Ahora bien, el cesionario, en este caso, efectuará un tratamiento de los datos obtenidos por el cedente
incorporándolos a sus sistemas de información, -temporal o definitivamente- y, por tanto, deberá de
implementar todas las medidas dispuestas en el Título VIII RLOPD y cumplir con todas las demás
obligaciones de la normativa entre los que se encuentra tener elaborado el documento de seguridad.
art. 3, art. 9 LOPD; art. 5, art. 88 RLOPD
4.4.
Caducidad del documento de seguridad
C. ¿Caduca el documento de seguridad?
S. No, lo que caduca es su contenido si éste no ha sido actualizado o no se ha adecuado a las disposiciones
vigentes.
El artículo 88.7 RLOPD informa que el documento de seguridad deberá mantenerse en todo momento
actualizado y será revisado siempre que se produzcan cambios relevantes en el sistema de información,
en el sistema de tratamiento empleado, en su organización, en el contenido de la información incluida
en los ficheros o tratamientos o, en su caso, como consecuencia de los controles periódicos realizados.
En todo caso, se entenderá que un cambio es relevante cuando pueda repercutir en el cumplimiento de
las medidas de seguridad implantadas.
El contenido del documento de seguridad deberá adecuarse, en todo momento, a las disposiciones vigentes en materia de seguridad de los datos de carácter personal.
Cualquier cambio que se produzca en el sistema de información, en el sistema de tratamiento empleado,
en su organización, en el contenido de la información incluida en los ficheros o tratamientos deberá
tener su reflejo en la actualización del documento de seguridad que recoja las modificaciones o novedades introducidas, así como adecuar el documento de seguridad a las disposiciones vigentes en materia
de seguridad de los datos de carácter personal.
art. 3, art. 9 LOPD; art. 88 RLOPD
4.5.
Vigencia del documento de seguridad
C. ¿El documento de seguridad debe adecuarse a las disposiciones vigentes sólo en el caso de que se
modifique la Ley y el Reglamento?
S. El artículo 88.8 RLOPD previene que: "El contenido del documento de seguridad deberá adecuarse,
en todo momento, a las disposiciones vigentes en materia de seguridad de los datos de carácter personal".
Cualquier modificación normativa en materia de seguridad de los datos de carácter personal provocará
la revisión del documento de seguridad y su adaptación a las disposiciones vigentes.
Las disposiciones en materia de seguridad de los datos de carácter personal puede que no sean exclusivamente las que se recogen en el Reglamento, debiendo estar pendientes a las normativas sectoriales
que puedan promulgarse o modificarse en nuestro Ordenamiento Jurídico en cualquier materia, por
ejemplo en el ámbito sanitario, de seguridad, telecomunicaciones, internet, seguros, mercantil y consumidores, educación, administración pública, tributaria, etc.
El responsable del fichero o tratamiento deberá adecuar en todo momento el documento de seguridad a
las disposiciones vigentes, por lo que tiene que tener en cuenta cualquier modificación o novedad le-
© CISS
1000 Soluciones de Protección de Datos - 599
Documentos relacionados
certifico - Intecserveis
certifico - Intecserveis
SANCIONES POR INFRINGIR LA LEY DE PROTECCION DE
SANCIONES POR INFRINGIR LA LEY DE PROTECCION DE
Autorización a terceroshot!
Autorización a terceroshot!
Programa jornada medidas de seguridad
Programa jornada medidas de seguridad
Cf,NTRO: Nombre y Apellidos: .,,.,.......,. Dirección: C.P.
Cf,NTRO: Nombre y Apellidos: .,,.,.......,. Dirección: C.P.
La Ley de Protección de Datos y la Puesta en Marcha de su aplicación
La Ley de Protección de Datos y la Puesta en Marcha de su aplicación
CIRCULAR INFORMATIVA SOBRE EL USO DE DATOS DE
CIRCULAR INFORMATIVA SOBRE EL USO DE DATOS DE
2. Recoger y tratar de forma adecuada los datos
2. Recoger y tratar de forma adecuada los datos
EXAMEN FINAL DERECHO INFORMÁTICO
EXAMEN FINAL DERECHO INFORMÁTICO
Descargar
Anuncio
Anuncio