Pagina 93 de 656 2. Derecho de información en la recogida de datos La documentación en soporte papel o en soporte electrónico debe conservarse mientras dure el tratamiento de datos y, una vez finalizado éste, hasta que transcurran los plazos de prescripción de acciones derivados del tratamiento. art. 5, art. 12, art. 47 LOPD; art. 18 RLOPD 2.17. Cumplimiento del deber de información C. La empresa responsable del fichero omitió su deber de información en la recogida de datos de carácter personal, ¿es posible subsanar con posterioridad el cumplimiento del deber de información? S. La subsanación de la omisión de cumplir con el derecho de información es posible, es necesario precisar que el cumplimiento debe efectuarse en el mismo momento en que se recaban lo datos, sirviendo la comunicación posterior de subsanación de aquello que no se hizo en su momento. El artículo 5.1 de la LOPD establece que Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco: a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información. b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas. c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos. d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición. e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante. La Audiencia Nacional ha analizado el efecto probatorio de la notificación a los interesados del tratamiento de sus datos personales en su Sentencia de 24 de enero de 2003 (rec. 400/2001), de la que se desprenden las siguientes consecuencias: - La mera contratación de un medio independiente para la notificación no acredita más que la existencia del contrato, pero no que se ha hecho el envío. - La prueba del envío de una notificación no acredita por sí misma su recepción por el afectado. - Si el destinatario niega la recepción, la carga de la prueba del envío recae sobre el responsable del tratamiento. - El que se hayan efectuado otras notificaciones al afectado no es suficiente para probar la notificación del "documento" respecto del cual se niega la recepción. En consecuencia, la Audiencia Nacional viene a reconocer que, sin perjuicio de que la carga de la prueba de la notificación corresponde al responsable del fichero, será suficiente para lograr esa acreditación la aportación de indicios suficientes que coadyuven a entender cumplido el requisito por parte del responsable del fichero. art. 5, art. 44 LOPD; art. 18 RLOPD; Sentencia de la AN, Sala de lo Contencioso-administrativo, Sección 1ª, 24 Ene. 2003 (Rec. 400/2001); Informe 20/2007, de 26 de marzo de 2007. Inclusión en el sobre de la documentación administrativa de aspectos que corresponden a al proposición del licitador. Defectos insubsanables; Informe Jurídico 0020/2007, de la Agencia Española de Protección de Datos. Cumplimiento del deber de información © CISS 1000 Soluciones de Protección de Datos - 93 Pagina 134 de 656 III. CESIÓN O COMUNICACIÓN DE DATOS Por lo tanto, en el caso de negligencia de la persona encargada de la custodia de la base de datos que implique una revelación de los mismos, no estaríamos propiamente ante una cesión de datos, sino más bien ante una comunicación de los mismos, pero las consecuencias jurídicas serían idénticas. art. 3 i) LOPD; art. 5.1 c) RLOPD; Resolución R/00192/2005, de 30 de marzo de 2005, de la Agencia Española de Protección de Datos. Procedimiento Nº AAPP/00016/2004; Resolución R/00089/2005, de 22 de marzo de 2005, de la Agencia Española de Protección de Datos. Procedimiento Nº AAPP/00026/2004 1.6. Operaciones societarias C. En una operación societaria de fusión o escisión ¿hay cesión de datos? ¿Cómo debe proceder el titular de la empresa absorbente para ajustarse a lo dispuesto en la LOPD? S. Hasta el momento de aprobación del RLOPD, las situaciones que se daban en las transacciones empresariales u operaciones societarias podían plantear dudas con respecto a si se producía una cesión de datos de carácter personal. Es obvio que si hay una transmisión empresarial en la que se compra parte de la totalidad o se ceden activos, existe una cesión en la que el original responsable del fichero o tratamiento, quien había obtenido el consentimiento, desaparece y uno nuevo, ya sea el adquirente o la sociedad resultante en caso de operaciones societarias, pasa a ser responsable del fichero o tratamiento. Así nos encontramos con que la propia mecánica de la operación societaria o de la concreta transacción empresarial significa, de hecho, la existencia de una cesión de datos que plantea diversas cuestiones como si es necesario la obtención del consentimiento previo de los interesados, si el cesionario está legitimado para tratar los datos y, en definitiva, qué acciones o soluciones cabe aplicar ante estas situaciones. El RLOPD, en su artículo 19, recoge dichos supuestos y dispone que, aun cuando se produzca una modificación del responsable del fichero como consecuencia de una operación de fusión, escisión, cesión global de activos y pasivos, aportación o transmisión de negocio o rama de actividad empresarial, o cualquier operación de reestructuración societaria de análoga naturaleza, contemplada por la normativa mercantil, no se producirá cesión de datos, sin perjuicio del cumplimiento por el responsable de lo dispuesto en el artículo 5 de la LOPD. En los casos de cualquiera de las operaciones societarias o mercantiles por las cuales se adquiere la condición de responsable del fichero o tratamiento, se deberá tener en cuenta si en su momento el entonces responsable del fichero, realizó correctamente la recogida de datos y obtuvo el consentimiento informado, facilitando la información a los interesados. En caso contrario, la falta de legitimación para el tratamiento se traslada al nuevo responsable quién debería de haber adoptado las cautelas necesarias en el proceso (aprovisionamiento o garantías por estas contingencias) de la operación mercantil o societaria. Por ello, el nuevo responsable del fichero deberá proceder, cuando los datos no se han obtenido directamente del afectado, a efectuar la comunicación a los interesados con los extremos requeridos por el artículo 5 LOPD y, en el caso comentado, proceder a recabar el consentimiento, salvo cuando este haya de ser expreso, utilizando el procedimiento establecido por el artículo 14 RLOPD. art. 19 LOPD 134 © CISS Pagina 199 de 656 1. Derechos de las personas procedimiento adecuado para esa cancelación o rectificación y la improcedencia de seguir, para dichos trámites, el procedimiento establecido en la LOPD. En este sentido reproducimos el FD Séptimo de la Resolución 00767/2007, recaída en el procedimiento de tutela de derechos señalado con el número 00235/2007, que dice que: "El Registro se rige por la normativa específica citada para proceder a la cancelación de los antecedentes y ha quedado acreditado que tramitó, de acuerdo a dicha normativa, la cancelación solicitada por el reclamante de las causas 5/90 y 1/92. Sin embargo, tal como recoge el artículo 2.3 de la LOPD, también dicho fichero debe regirse, en su caso, por esta Ley Orgánica. Así las cosas, el citado Registro, de acuerdo a la LOPD, debió contestar la solicitud del reclamante en el plazo indicado en el artículo 16 de la LOPD, señalándole la normativa específica que afecta a los datos personales contenidos en ese fichero y su especial tramitación. Por tanto, aunque el Registro tramitó debidamente la cancelación de antecedentes del reclamante, no contestó a la solicitud de cancelación de datos personales efectuada por éste, de acuerdo a la LOPD, tal como está previsto en el mencionado artículo 15.3 del Real Decreto 1332/1994. Por ello procede estimar, por motivos formales, la presente reclamación de Tutela de Derechos". art. 13 ss) LOPD; art. 25.8 RLOPD; Resolución R/00767/2007, de 10 de agosto de 2007, de la Agencia Española de Protección de Datos. T.D.Nº TD/00235/2007; Resolución R/00051/2007, de 16 de febrero de 2007, de la Agencia Española de Protección de Datos. T.D.Nº TD/00446/2006 1.13. Ejercicio de derechos por parte de una persona de la que no se disponen datos C. En el caso de ejercicio del derecho de acceso o de cancelación por parte de una persona de la que no se disponen datos de carácter personal, ¿tiene el responsable del fichero obligación de atender su solicitud? S. Según el artículo 25.2 RLOPD: "El responsable del tratamiento deberá contestar la solicitud que se le dirija en todo caso, con independencia de que figuren o no datos personales del afectado en sus ficheros". Esta misma conclusión fue sentada por la AEPD, con anterioridad a la aprobación del Reglamento, en resoluciones como la Resolución 320/2007 que declara que: "el responsable del fichero debió, una vez recibida la solicitud de cancelación del reclamante, contestarle en el plazo de 10 días, con independencia de que figuren o no datos del reclamante en sus ficheros (...)". Por lo tanto, y aunque no consten datos personales del interesado en los ficheros del responsable, éste tendrá la obligación de contestar toda solicitud que le dirija un interesado en ejercicio de sus derechos de acceso, rectificación, cancelación y oposición. Y si no lo hace, puede verse requerido por la AEPD en un procedimiento de tutela de derechos, aunque no disponga de datos personales del interesado cuya petición no ha atendido. art. 13 ss) LOPD; art. 25.2 RLOPD; Resolución R/00320/2007, de 29 de mayo de 2007, de la Agencia Española de Protección de Datos. T.D.Nº TD/00006/2007 1.14. Ejercicio de derechos sin los requisitos necesarios C. En caso de duda sobre la identidad del reclamante, ¿hay que atender su solicitud de derecho de acceso o rectificación? S. Según el artículo 25.3 RLOPD: "En el caso de que la solicitud no reúna los requisitos especificados en el apartado primero, el responsable del fichero deberá solicitar la subsanación de los mismos". © CISS 1000 Soluciones de Protección de Datos - 199 Pagina 228 de 656 V. DERECHOS DE LAS PERSONAS 8.10. Acción de indemnización. Fichero de solvencia patrimonial sin requerimiento de pago C. La inclusión de los datos en un fichero de solvencia patrimonial sin efectuar un requerimiento previo de pago, ¿puede producir el nacimiento del derecho de indemnización para el afectado? S. El hecho de no haber acreditado que se efectuó un requerimiento previo de pago, anterior a la cesión de los datos del deudor para su inclusión en un fichero de solvencia patrimonial, se entiende no sólo como contravención de un requisito exigido por la norma sino un ejercicio contrario a los requisitos de la buena fe. El artículo 38.1.c) RLOPD exige, como uno de los requisitos para la inclusión de los datos en este tipo de ficheros, acreditar haber efectuado previamente un requerimiento de pago a quien corresponda el cumplimiento de la obligación. Con anterioridad a la promulgación del RLOPD, la Instrucción 1/1995, de 1 de marzo dictada por la AEPD, ya establecía este requisito. La contravención de este requisito legal producirá el nacimiento del derecho de indemnización a favor del afectado, debiendo acreditar, eso sí, el perjuicio real causado. art. 19 LOPD; LEC; art. 38.1 c) RLOPD; Sentencia de la AP Segovia, 25 Abr. 2002 (Rec. 78/2002) 8.11. Acción de indemnización. Cesión errónea de datos personales C. ¿La errónea cesión de los datos personales puede producir el nacimiento del derecho de indemnización para el afectado? S. La utilización de forma errónea del número de Documento Nacional de Identidad del afectado al atribuir por parte de la entidad demandada su número a una persona de otra nacionalidad que coincidía con su carta de identidad, provocó la actividad investigadora de la AEPD que concluyó con una sanción. La SAP de Cádiz de 15 de octubre de 2002 (rec. 393/2002) concluye que evidentemente se ha causado un perjuicio "De nuevo el principio dispositivo nos vincula a los hechos y a la causa de pedir. La mera constatación de las numerosas actividades y gestiones que la actora realizó como consecuencia de un hecho por completo ajeno a ella e imputable a la demandada supone la existencia de un inequívoco daño o perjuicio cuando menos de índole moral, aunque no haya quedado probado la denegación de alguna operación mercantil por esta causa. La actora, ante el desconocimiento de lo sucedido y la inequívoca sensación de injusticia sufrida, formuló denuncias ante la jurisdicción penal y la Agencia de Protección de Datos, además de una serie de contactos con la propia demandada. Estos hechos san narrados en la demanda y se han considerado acreditados, por lo que no existe apartamiento alguno por parte de la juzgadora de instancia respecto de la reclamada por la actora: la indemnización de perjuicios causados por la actuación de la demandada. Que esos perjuicios sean de índole material a moral es cuestión valorativa que entra en el ámbito de decisión del juzgador, conforme -se reitera- al principio iura novit curia. No puede decirse que en la demanda ni siquiera se alegan tales perjuicios morales, cuando los mismos son fácilmente deducibles del rosario de acciones y gestiones efectuados por la demandada para paliar las consecuencias de la ligereza en la actuación de la demandada". art. 19 LOPD; LEC; art. 38.1 c) RLOPD; Sentencia de la AP Cádiz, Sección 7ª, 15 Oct. 2002 (Rec. 393/2002) 228 © CISS Pagina 229 de 656 8. Derecho de indemnización 8.12. Acción de indemnización. Derecho al honor, a la intimidad y a la propia imagen C. ¿La acción de indemnización es autónoma o puede considerarse como parte de la defensa del derecho al honor, a la intimidad y a la propia imagen? S. La verdad es que se pueden encontrar sentencias que no delimitan ambas acciones, la que corresponde al artículo 19 LOPD y la que corresponde al artículo 9 LO 1/1982, de 5 de mayo, de Protección Civil del Derecho al Honor, a la intimidad Personal y Familiar y a la Propia Imagen (LO 1/1982). Sin embargo, la tutela de los derechos lesionados como consecuencia de la vulneración de lo dispuesto en la LOPD puede encauzarse desde el punto de vista sustantivo bien por la LOPD o bien al amparo de la LO 1/1982, cuando se trate de intromisiones ilegítimas que afectan a los derechos fundamentales al honor o a la intimidad personal. Es frecuente que se invoquen ambas conjuntamente en las reclamaciones y se citen asimismo en las resoluciones judiciales, si bien, su ámbito es diferente. A modo ilustrativo puede verse de este extracto de la SAP de Badajoz de 29 de abril de 2004 (rec. 184/2004): "(...) los perjuicios morales y patrimoniales causados al actor al vulnerar la demandada la normativa reguladora de la protección de datos de carácter personal. Tal normativa implica una manifestación más de la defensa del derecho al honor, a la intimidad y a la propia imagen". La acción ex artículo 19 LOPD es autónoma, sin embargo, si la vulneración de la LOPD ha producido una intromisión ilegítima que afecta al derecho fundamental al honor o a la intimidad personal y familiar, deberá accionarse por el cauce de la LO 1/1982. art. 19 LOPD; art. 7, art. 9 LO 1/1982 de 5 May.; LEC; RLOPD; Sentencia de la AP Badajoz, Sección 2ª, 29 Abr. 2004 (Rec. 184/2004) 8.13. Acción de indemnización del artículo 19 LOPD C. ¿El derecho a indemnización del artículo 19 LOPD tiene carácter contractual o extracontractual? S. Tiene carácter extracontractual. El artículo 1902 CC es el cauce adecuado para la tutela civil genérica frente a cualquier posible lesión patrimonial ocasionada como consecuencia de actos u omisiones interviniendo culpa o negligencia, cuando éstos no se refieran a la vulneración de derechos fundamentales (en cuyo caso habría que acudir a la LO 1/1982), sino de bienes jurídicos de distinta naturaleza, esto es, daños y perjuicios de índole patrimonial. art. 19 LOPD; art. 7, art. 9 LO 1/1982 de 5 May.; LEC; RLOPD; art. 1902 CC 8.14. Legitimación pasiva C. En el caso de vulneraciones de la LOPD que produzca un daño o lesión en los bienes y derechos del afectado, con motivo de su inclusión indebida en un fichero de solvencia patrimonial y de crédito, ¿contra quién se ha dirigir la demanda?, ¿contra la entidad acreedora cedente de los datos o contra la que es titular del fichero o contra ambas? S. Las reclamaciones suelen dirigirse bien frente a la entidad acreedora cedente de los datos (operadores de telefonía, entidades financieras, etc.) o bien frente a la entidad titular del fichero cesionaria a quien le han comunicado los datos las entidades antes mencionadas, o a ambas. © CISS 1000 Soluciones de Protección de Datos - 229 Pagina 259 de 656 1. Ficheros de titularidad pública consecuencia, dicha Ley Orgánica vincula el carácter público de los centros con la titularidad de los mismos. Al propio tiempo, la misma no establece en ningún lugar si los centros tendrán o no personalidad jurídica dependiente de la correspondiente Administración Educativa, si bien especifican expresamente los ámbitos en que los mismos gozarán de autonomía pedagógica, organizativa y de gestión económica (arts. 120 y ss. de la Ley Orgánica). La AEPD, analizando las diferentes normas de las Comunidades Autónomas reguladoras de la enseñanza no universitaria, llega a la conclusión de que, dado que únicamente se establece el carácter público de los centros de enseñanza públicos, a sensu contrario cabe deducir que el resto de los Centros de Enseñanza, que no son de titularidad pública, han de reputarse como centros privados. Por ello concluye la AEPD en el Informe 501/2005 que, cuando los Centros Educativos de Enseñanza se encuentren integrados orgánicamente en la Administración autonómica, será ésta la obligada al cumplimiento de las obligaciones que respecto de los ficheros de titularidad pública impone la LOPD, debiendo la misma adoptar la correspondiente disposición de carácter general y proceder a la notificación de los tratamientos al Registro General de Protección de Datos, en la que se hará constar que el Centro es el lugar de ubicación del fichero. Por el contrario, en el resto de los casos, es decir Colegio Privado, aunque sean concertados, el responsable del fichero será el propio Centro, correspondiendo al mismo la notificación del tratamiento al Registro General de Protección de Datos de la AEPD, de acuerdo con lo dispuesto por el artículo 26 LOPD. LO 10/2002 de 23 Dic.; art. 3 d), art. 26 LOPD; art. 5.1 g) RLOPD; Informe Jurídico 0501/2005, de la Agencia Española de Protección de Datos. Naturaleza de los ficheros de un Colegio Privado Concertado. 1.35. Fotografías de alumnos C. ¿Vulnera la LOPD el hecho de tomar fotografías de alumnos en centros escolares? S. Siendo la imagen un dato personal, la toma de fotos de los alumnos efectuada por el colegio constituye un tratamiento de datos personales, tal y como prevé el artículo 3 de la LOPD que configura este como: "operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias". En lo que se refiere al tratamiento de datos de carácter personal, entre las obligaciones del responsable del fichero, en el presente caso el centro escolar, está la de obtener el consentimiento del interesado para el tratamiento o cesión de los datos y la de informar sobre los derechos que les asisten, así como sobre la identidad y dirección del responsable y sobre el uso que se va a dar a esos datos. En el presente caso, las imágenes tratadas afectan a un menor de edad, por lo que debe tenerse en cuenta lo previsto en el artículo 13.1 del RLOPD, según el cual: "Podrá procederse al tratamiento de los datos de los mayores de catorce años con su consentimiento, salvo en aquellos casos en los que la Ley exija para su prestación la asistencia de los titulares de la patria potestad o tutela. En el caso de los menores de catorce años se requerirá el consentimiento de los padres o tutores". art. 3 d), art. 5, art. 6 LOPD; art. 13 RLOPD 1.36. Publicación de fotos de alumnos en la página web del colegio C. ¿Puede una escuela publicar fotos de sus alumnos en su página web? © CISS 1000 Soluciones de Protección de Datos - 259 Pagina 299 de 656 3. Excepciones respecto de los ficheros de titularidad pública consoliden en las bases de datos corporativas del Sistema de la Seguridad Social como consecuencia del acceso informático directo a las bases de datos corporativas de otros organismos o empresas, surtirán plenos efectos y tendrán la misma validez que si hubieran sido notificados, por dichos organismos o empresas mediante certificación en soporte papel". De este precepto se desprende la existencia de un deber de colaboración, no sólo con la Administración General de la Seguridad Social, sino también con las entidades gestoras de la misma. Este deber bastará para considerar lícita la cesión por aplicación del artículo 11.2.a) LOPD, en conexión con el artículo 66 bis LGSS. art. 11.1 a), art. 21 LOPD; art. 57, art. 66 bis) LGSS 3.48. Cesión de datos a la Inspección de Trabajo C. He recibido un requerimiento de la Inspección de Trabajo en el que me solicita datos de mis trabajadores, ¿debo atenderlo? Si le facilito los datos que me solicita, ¿vulnero el derecho a la protección de datos de mis trabajadores? S. Tratándose de un requerimiento efectuado por la Inspección de Trabajo en el curso de una inspección, es preciso acudir a la Ley 42/1997, de 14 noviembre, reguladora de la Inspección de Trabajo, donde en su artículo 11 se determina que: "1. Los empresarios, los trabajadores y los representantes de ambos, así como los demás sujetos responsables del cumplimiento de las normas del orden social, están obligados cuando sean requeridos: a atender debidamente a los inspectores de Trabajo y Seguridad Social y a los subinspectores de Empleo y Seguridad Social; a acreditar su identidad y la de quienes se encuentren en los centros de trabajo; a colaborar con ellos con ocasión de visitas u otras actuaciones inspectoras; a declarar ante el funcionario actuante sobre en un cuestiones que afecten a las comprobaciones inspectoras, así como a facilitarles la información y documentación necesarias para el desarrollo de sus funciones. Quienes representen a los sujetos inspeccionados deberán acreditar documentalmente tal condición si la actuación se produjese fuera del domicilio o centro de trabajo visitado. 2. Toda persona natural o jurídica estará obligada a proporcionar a la Inspección de Trabajo y Seguridad Social toda clase de datos, antecedentes o información con trascendencia en los cometidos inspectores, siempre que sean financieras con terceros sujetos a la acción inspectora, cuando a ello sea requerida en forma (...)". De lo establecido en el precepto citado parece desprenderse que la comunicación de los datos requeridos se encontraría amparada en una norma con rango de Ley que la habilitaría, siendo la misma conforme a lo dispuesto en el artículo 11.2 a) LOPD. art. 11.2 a), art. 21 LOPD; art. 11 L 42/1997 de 14 Nov. 3.49. Cesión de datos a las Mutuas de Accidentes de Trabajo C. Cuando un empresario remite los partes de baja de sus trabajadores a la Mutua de Accidentes de Trabajo, ¿está vulnerando la LOPD? ¿Debe recabar para ello el consentimiento del trabajador? S. El Real Decreto 575/1997, de 18 de abril por el que se regulan determinados aspectos de la gestión y control de la prestación económica de la Seguridad Social por incapacidad temporal, señala en su artículo 1 que: "1. Todo parte médico de baja irá precedido de un reconocimiento médico del trabajador que permita la determinación objetiva de la incapacidad temporal para el trabajo habitual, a cuyo efecto el médico requerirá al trabajador los datos necesarios que contribuyan a precisar la patología objeto © CISS 1000 Soluciones de Protección de Datos - 299 Pagina 333 de 656 3. Excepciones respecto de los ficheros de titularidad pública representación que ostentan quienes actúen electrónicamente ante ellos en nombre de terceros. Cada Departamento Ministerial y organismo público determinará los trámites y actuaciones de su competencia para los que sea válida la representación incorporada al registro de apoderamientos. Además, caso de entender que hay falta o insuficiencia de la representación formalmente incorporada al registro de apoderamientos podrá requerir al interesado la correspondiente subsanación en los términos del artículo 32.4 de la Ley 30/1992, de 26 de noviembre, o en los términos que resulten de la normativa específica de aplicación. A efectos de su incorporación al registro electrónico de apoderamientos y demás aspectos relativos a su funcionamiento, mediante orden del Ministro de la Presidencia se concretará el régimen de otorgamiento de los apoderamientos, sus formas de acreditación, ámbito de aplicación y revocación de los poderes, así como la forma y lugar de presentación de los documentos acreditativos del poder". art. 11, art. 21 LOPD; art. 10 RD 1671/2009 de 6 Nov. 3.100. Certificados electrónicos C. ¿Qué es un certificado electrónico? S. Un certificado electrónico es un documento firmado electrónicamente por un prestador de servicios de certificación que vincula datos de verificación de firma a un firmante y confirma su identidad. El firmante es la persona que posee un dispositivo de creación de firma y que actúa en nombre propio o en nombre de una persona física o jurídica a la que representa. El artículo 13 de la Ley 11/2007, de acceso electrónico de los ciudadanos a los servicios públicos, admite como medios de identificación y autenticación de los ciudadanos en sus relaciones con la administración electrónica, además de la firma digital incorporada al DNI electrónico y la firma digital avanzada, los sistemas de firma electrónica avanzada basados en un certificado reconocido. Lo que debemos entender por certificado electrónico reconocido nos lo viene a decir el artículo 11 de la Ley 59/2003, de firma electrónica, que los define como aquellos certificados electrónicos "expedidos por un prestador de servicios de certificación que cumple los requisitos establecidos en la Ley en cuanto a la comprobación de la identidad y demás circunstancias de los solicitantes y a la fiabilidad y las garantías de los servicios de certificación que presten". Por lo tanto, los certificados electrónicos son los documentos expedidos por los prestadores de servicios de certificación que relacionan las herramientas de firma electrónica de cada usuario con su identidad, dándole a conocer como firmante en el ámbito telemático. art. 11, art. 21 LOPD; art. 13 L 11/2007 de 22 Jun.; art. 11 L 59/2003 de 19 Dic. 3.101. Diferencia entre certificado electrónico y firma digital C. ¿Es lo mismo la firma digital que un certificado electrónico? S. En términos coloquiales podríamos decir que el certificado electrónico equivale al DNI mientras que la firma digital equivale a la firma manuscrita. El certificado electrónico es un documento electrónico que identifica a una persona. Cuando al acceder a una página web el sistema me pide que me identifique con mi certificado electrónico y lo hago, el sistema se fía de que "yo soy yo" y en base a esa confianza me otorga determinados permisos de acceso e interacción. Lo anterior muestra un paralelismo con lo que hace el DNI de toda la vida cuando nos identificamos frente a terceros. © CISS 1000 Soluciones de Protección de Datos - 333 Pagina 396 de 656 VII. NOTIFICACIÓN E INSCRIPCIÓN DE FICHEROS 4.3. Plazo para la notificación de un fichero de titularidad pública C. ¿Cuál es el plazo para la inscripción de un fichero de titularidad pública? S. Según el artículo 55.1 RLOPD: "Todo fichero de datos de carácter personal de titularidad pública será notificado a la Agencia Española de Protección de Datos por el órgano competente de la Administración responsable del fichero para su inscripción en el Registro General de Protección de Datos, en el plazo de treinta días desde la publicación de su norma o acuerdo de creación en el diario oficial correspondiente". Así pues, a diferencia de los ficheros de titularidad privada, que deben inscribirse en el RGPD con carácter previo a su creación, en el caso de ficheros de titularidad pública el plazo es de un mes desde la publicación de la disposición general. art. 55.1 RLOPD; R Agencia Española de Protección de Datos 8 Sep. 2006; R Agencia Española de Protección de Datos 12 Jul. 2006; R Agencia Española de Protección de Datos 12 Jul. 2006; R 30 May. 2000 5. 5.1. NOTIFICACIÓN DE FICHEROS ESPECIALES Notificación de ficheros en distintos soportes C. Tengo copia en papel de todos los ficheros existentes en la empresa, ¿debo notificarlos por separado o basta inscribir el fichero automatizado? S. Según el artículo 56 RLOPD: "La notificación de un fichero de datos de carácter personal es independiente del sistema de tratamiento empleado en su organización y del soporte o soportes empleados para el tratamiento de los datos. Cuando los datos de carácter personal objeto de un tratamiento estén almacenados en diferentes soportes, automatizados y no automatizados o exista una copia en soporte no automatizado de un fichero automatizado sólo será precisa una sola notificación, referida a dicho fichero". Por lo tanto, no es necesario que proceda a la inscripción por duplicado de cada fichero. Ahora bien, según el artículo 55.2 RLOPD uno de los aspectos que se debe hacer constar en la notificación del fichero es el relativo al sistema de tratamiento empleado, es decir, si la información está organizada de forma automatizada o manual, o parcialmente automatizada (sistema mixto). Por lo tanto, no es suficiente con inscribir el fichero automatizado, sino que deberá hacer constar, en el apartado 7º de la notificación (Tipos de datos, estructura y organización), que el fichero es de naturaleza mixta. art. 56 RLOPD; R Agencia Española de Protección de Datos 8 Sep. 2006; R Agencia Española de Protección de Datos 12 Jul. 2006; R Agencia Española de Protección de Datos 12 Jul. 2006; R 30 May. 2000 5.2. Notificación de ficheros en distintas ubicaciones C. En mi empresa existen diversos centros de trabajo y en cada uno de ellos existente ficheros muy similares, ¿debo proceder a la inscripción de todos ellos o puedo inscribirlos una sola vez a nombre de la empresa matriz? S. La AEPD se pronunció respecto la posibilidad de aunar en una sola inscripción, los distintos ficheros de una misma empresa, ubicados físicamente en distintos lugares (los varios centros de trabajo de los que disponía esa empresa), siendo así que la información sometida a tratamiento resulta ser similar en todos ellos, y los ficheros idénticos (Informe 368/2003). 396 © CISS Pagina 448 de 656 X. TRATAMIENTOS SECTORIALES 1.5. Responsable del fichero de control de acceso a edificios C. ¿Quién tendrá la consideración de responsable de un fichero creado con los datos personales de quienes acceden a un edifico que tiene un control de acceso? S. En el supuesto de hecho planteado, la actuación llevada a cabo por la empresa encargada del control de acceso depende de los criterios que previamente haya fijado la entidad propietaria del edificio, por lo que actúa en todo caso por cuenta de ésta. En definitiva, trata los datos por cuenta del responsable que es su cliente, siendo, por tanto, la empresa encargada del control de acceso encargada del tratamiento. Por ello concluye la AEPD en el Informe 290/2008 que en el caso de ficheros creados con ocasión del control de acceso a un edificio, tendrá la consideración de responsable del fichero la persona física o jurídica, de naturaleza pública o privada, u órgano administrativo por cuya cuenta se efectúe la realización del servicio de seguridad. No obstante, mediante el correspondiente contrato de prestación de servicios de seguridad, podrá tener la consideración de responsable del fichero la empresa que preste los servicios de aquella naturaleza. Ahora bien, es preciso señalar que para que las empresas que prestan este tipo de servicios tengan la condición de encargado de tratamiento, resultará imprescindible que tengan firmado con la empresa propietaria del edificio un contrato que recoja lo dispuesto en el artículo 12 LOPD. art. 12 LOPD; Instrucción 1/1996 de 1 Mar.; Informe Jurídico 0290/2008, de la Agencia Española de Protección de Datos. Las empresas encargadas del control de acceso a los edificios son encargados del tratamiento. 1.6. Derecho de información en la recogida de datos en controles de acceso a edificios C. ¿Es necesario informar a los afectados, en los términos que se recogen en el artículo 5 LOPD, cuando se les piden sus datos para poder acceder a un edificio?, ¿cómo se puede cumplir este deber? S. Sí, es necesario informar a los afectados. Según la Norma Tercera de la Instrucción de la AEPD 1/1996, de 1 de marzo, sobre ficheros automatizados establecidos con la finalidad de controlar el acceso a los edificios: "La recogida de datos efectuada para el cumplimiento de los fines a los que se refiere la presente Instrucción deberá realizarse de conformidad con lo establecido en el artículo 5 de la Ley Orgánica 5/1992, y, en concreto, deberá informarse de la existencia de un fichero automatizado, de la finalidad de la recogida de los datos, de los destinatarios de la información, del carácter obligatorio de su respuesta, de las consecuencias de la negativa a suministrarlos, de la posibilidad de ejercitar los derechos de acceso, rectificación o cancelación y de la identidad y dirección del responsable del fichero". En cuanto al modo de cumplir con este deber de información puede utilizarse un letrero informativo o bien la información en papel impreso que se facilita a los visitantes cuando se les requiere la identificación. art. 12 LOPD; Instrucción 1/1996 de 1 Mar. 1.7. Datos que se pueden recabar en los controles de acceso a edificios C. ¿Qué datos nos puede solicitar la empresa encargada del control de acceso? 448 © CISS Pagina 471 de 656 4. Telecomunicaciones S. Entendemos que no. El artículo 20 LSSICE exige que se incluya al comienzo del mensaje la palabra "publicidad" o su abreviatura "publi", pero ello no significa que se deba especificar en el asunto. art. 20 LSSICE 3.20. Comunicaciones electrónicas no deseadas C. Si recibo comunicaciones comerciales no deseadas por medios electrónicos, ¿qué medidas puedo adoptar? S. Si considera que se ha cometido una infracción de los artículos 21 o 22 de la LSSICE (correos electrónicos publicitarios o comerciales no consentidos), se deberá dirigir a la Agencia Española de Protección de Datos ya que, según el artículo 43 LSSICE, corresponde a este organismo la imposición de sanciones por la comisión de infracciones consistentes en el envío masivo de comunicaciones comerciales por correo electrónico, el incumplimiento de la obligación de habilitar procedimientos sencillos y gratuitos para que los destinatarios de servicios puedan revocar el consentimiento que hubieran prestado o el incumplimiento de la obligación de poner a disposición del destinatario del servicio las condiciones generales del contrato. Si, por el contrario, considera que se ha cometido una infracción del artículo 20 de la LSSICE, deberá dirigirse al Ministerio de Industria Turismo y Comercio ya que, según este mismo precepto citado, la imposición de sanciones por el incumplimiento de lo previsto en esta Ley corresponderá, en el caso de infracciones muy graves, al Ministro de Industria, Turismo y Comercio, y en el de infracciones graves y leves, al Secretario de Estado de Telecomunicaciones y para la Sociedad de la Información. art. 20, art. 21, art. 22, art. 43 LSSICE 4. TELECOMUNICACIONES 4.1. Condiciones para la prestación del servicio de comunicaciones electrónicas C. ¿Qué servicios de telecomunicaciones requieren autorización de la Comisión Nacional de Telecomunicaciones? S. Los requisitos y condiciones exigibles para la explotación de redes y la prestación de servicios de comunicaciones electrónicas vienen determinados en la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones (LGT), y en el Reglamento sobre las condiciones para la prestación de servicios de comunicaciones electrónicas, el servicio universal y la protección de los usuarios, aprobado por el Real Decreto 424/2005, de 15 de abril (RSUT). La LGT se basa en el principio de la libre competencia en la explotación de las redes y la prestación de los servicios de las telecomunicaciones. Ahora bien, pese a este marco general de libertad, los interesados en la explotación de una determinada red o en la prestación de un determinado servicio de comunicaciones electrónicas deberán, con anterioridad al inicio de la actividad, notificarlo fehacientemente a la Comisión del Mercado de las Telecomunicaciones que les inscribirá en un registro creado al efecto que ha sido regulado en los artículos 7 y siguientes del RSUT. Según establece el artículo 5 de este Reglamento: "Los interesados en la explotación de una determinada red o en la prestación de un determinado servicio de comunicaciones electrónicas deberán, con anterioridad al inicio de la actividad, notificarlo fehacientemente a la Comisión del Mercado de las Telecomunicaciones, incluyendo la información que se señala en el apartado 5. Una vez realizada la © CISS 1000 Soluciones de Protección de Datos - 471 Pagina 595 de 656 3. Medidas de seguridad. Disposiciones generales En el documento de seguridad deben hacerse constar las personas habilitadas para otorgar autorizaciones así como aquellas en las que recae dicha delegación. art. 9 LOPD; art. 84 RLOPD 3.7. Régimen de trabajo fuera de los locales del responsable. Ordenador portátil C. En una firma de abogados resulta habitual que los profesionales se lleven el ordenador portátil para trabajar. El responsable del fichero ¿debe permitirlo? S. El responsable del fichero podrá regular el régimen de trabajo fuera de sus locales; permitirlo o denegarlo es una potestad exclusiva del responsable. Si se realizan trabajos fuera de las dependencias del responsable, éste deberá de autorizarlo previamente y dicha autorización deberá de constar en el documento de seguridad. El dispositivo portátil debe garantizar el mismo nivel de seguridad correspondiente al tipo de fichero tratado. Un ordenador portátil, por ejemplo, que no precise de identificación y autenticación para iniciar una sesión de usuario , no estará cumpliendo con las medidas de seguridad de nivel básico y por tanto, vulnerando esta disposición recogida en el artículo 86 RLOPD. En el caso de una firma de abogados, con toda probabilidad las medidas de seguridad que deban aplicar sean las de nivel medio y alto, debiendo de extremar las precauciones en los dispositivos portátiles. art. 9 LOPD; art. 86 RLOPD 3.8. Régimen de trabajo fuera de los locales del responsable. Expediente académico. USB C. Los profesores del colegio tienen la costumbre de corregir exámenes en casa y se llevan en un dispositivo de almacenamiento masivo (USB) los expedientes académicos de sus alumnos, ¿qué criterio debería adoptar la dirección de la escuela? S. El artículo 86 RLOPD previene lo siguiente: "1. Cuando los datos personales se almacenen en dispositivos portátiles o se traten fuera de los locales del responsable de fichero o tratamiento, o del encargado del tratamiento será preciso que exista una autorización previa del responsable del fichero o tratamiento, y en todo caso deberá garantizarse el nivel de seguridad correspondiente al tipo de fichero tratado. 2. La autorización a la que se refiere el párrafo anterior tendrá que constar en el documento de seguridad y podrá establecerse para un usuario o para un perfil de usuarios y determinando un periodo de validez para las mismas". La dirección deberá regular el régimen de trabajo de los profesores fuera del recinto escolar, así como regular debidamente el almacenamiento de datos personales como el expediente académico en dispositivos portátiles. Existirá una autorización emitida por el responsable del fichero o tratamiento o por la persona con delegación de autorización y dicha autorización deberá de constar en el documento de seguridad. En este caso a los datos del expediente académico del alumno, con toda probabilidad, se les deberán de aplicar, al menos, las medidas de seguridad de nivel medio, sino las de nivel alto, de conformidad con lo dispuesto en los artículos 81.2.f) y 82.3 RLOPD. El dispositivo portátil ha de garantizar el mismo nivel de seguridad correspondiente al tipo de fichero tratado. De momento, aún es común que los dispositivos de almacenamiento masivo USB no dispongan © CISS 1000 Soluciones de Protección de Datos - 595 Pagina 599 de 656 4. El Documento de Seguridad Ahora bien, el cesionario, en este caso, efectuará un tratamiento de los datos obtenidos por el cedente incorporándolos a sus sistemas de información, -temporal o definitivamente- y, por tanto, deberá de implementar todas las medidas dispuestas en el Título VIII RLOPD y cumplir con todas las demás obligaciones de la normativa entre los que se encuentra tener elaborado el documento de seguridad. art. 3, art. 9 LOPD; art. 5, art. 88 RLOPD 4.4. Caducidad del documento de seguridad C. ¿Caduca el documento de seguridad? S. No, lo que caduca es su contenido si éste no ha sido actualizado o no se ha adecuado a las disposiciones vigentes. El artículo 88.7 RLOPD informa que el documento de seguridad deberá mantenerse en todo momento actualizado y será revisado siempre que se produzcan cambios relevantes en el sistema de información, en el sistema de tratamiento empleado, en su organización, en el contenido de la información incluida en los ficheros o tratamientos o, en su caso, como consecuencia de los controles periódicos realizados. En todo caso, se entenderá que un cambio es relevante cuando pueda repercutir en el cumplimiento de las medidas de seguridad implantadas. El contenido del documento de seguridad deberá adecuarse, en todo momento, a las disposiciones vigentes en materia de seguridad de los datos de carácter personal. Cualquier cambio que se produzca en el sistema de información, en el sistema de tratamiento empleado, en su organización, en el contenido de la información incluida en los ficheros o tratamientos deberá tener su reflejo en la actualización del documento de seguridad que recoja las modificaciones o novedades introducidas, así como adecuar el documento de seguridad a las disposiciones vigentes en materia de seguridad de los datos de carácter personal. art. 3, art. 9 LOPD; art. 88 RLOPD 4.5. Vigencia del documento de seguridad C. ¿El documento de seguridad debe adecuarse a las disposiciones vigentes sólo en el caso de que se modifique la Ley y el Reglamento? S. El artículo 88.8 RLOPD previene que: "El contenido del documento de seguridad deberá adecuarse, en todo momento, a las disposiciones vigentes en materia de seguridad de los datos de carácter personal". Cualquier modificación normativa en materia de seguridad de los datos de carácter personal provocará la revisión del documento de seguridad y su adaptación a las disposiciones vigentes. Las disposiciones en materia de seguridad de los datos de carácter personal puede que no sean exclusivamente las que se recogen en el Reglamento, debiendo estar pendientes a las normativas sectoriales que puedan promulgarse o modificarse en nuestro Ordenamiento Jurídico en cualquier materia, por ejemplo en el ámbito sanitario, de seguridad, telecomunicaciones, internet, seguros, mercantil y consumidores, educación, administración pública, tributaria, etc. El responsable del fichero o tratamiento deberá adecuar en todo momento el documento de seguridad a las disposiciones vigentes, por lo que tiene que tener en cuenta cualquier modificación o novedad le- © CISS 1000 Soluciones de Protección de Datos - 599