manual de pdur - unirioja.es pdur.pdf · manual de introducción a la protección de datos...
TRANSCRIPT
Adjunto al Rector para la
Protección de Datos de Carácter Personal
Materiales formativos curso de protección de datos para personal de la Universidad de La Rioja
Manual de Introducción a la Protección de Datos
Universidad de La Rioja Mayo - Junio 2006 1
1 Antecedentes Normativos: ................................................................... 3
1.1 El artículo 18.4 de la Constitución Española.................................................... 3
1.2 La Ley Orgánica Reguladora del Tratamiento Automatizado de Datos. ................ 4
1.3 El Real Decreto 994/1999, Reglamento de Medidas de Seguridad. ..................... 7
1.4 La Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter
personal. ............................................................................................................. 8
1.5 La Resolución y normativa interna de la Universidad de La Rioja. .....................10
2 Definiciones ....................................................................................... 13
2.1 Definiciones Generales. ..............................................................................13
2.1.1 Dato de carácter personal. ..................................................................13
2.1.2 Fichero de datos ................................................................................14
2.1.3 Tratamiento de Datos .........................................................................15
2.1.4 Responsable del Fichero......................................................................15
2.1.5 Comunicación de datos .......................................................................15
2.1.6 Acceso por cuenta de terceros .............................................................16
2.1.7 Encargado del tratamiento ..................................................................16
2.1.8 Afectado o Interesado.........................................................................17
2.1.9 Consentimiento..................................................................................17
2.1.10 Procedimiento de Disociación ...............................................................17
2.1.11 Fuentes accesibles al público. ..............................................................18
2.2 Principios Rectores en la materia. ................................................................19
2.2.1 El principio de calidad de los datos o de equilibrio. ..................................19
2.2.2 Principio de Finalidad ..........................................................................19
2.2.3 Principio de actualidad o exactitud........................................................21
2.3 Principio de información .............................................................................22
2.4 Principio de consentimiento: .......................................................................23
3 Tipología ............................................................................................ 27
3.1 Datos Básicos ...........................................................................................27
3.2 Datos Especialmente Protegidos ..................................................................27
3.2.1 Datos de Ideología. ............................................................................27
3.2.2 Afiliación sindical................................................................................28
3.2.3 Religión y Creencias: ..........................................................................32
3.2.4 Origen Racial.....................................................................................33
3.2.5 Datos de Salud. .................................................................................34
3.2.6 Datos de Comisiones de Infracciones Penales y Administrativas ................41
3.3 Ficheros de las Administraciones Públicas......................................................41
3.3.1 La determinación del concepto Administración Pública .............................41
3.3.2 La obligatoriedad de disposición general para la creación del fichero..........42
3.3.3 Las cesiones de datos entre administraciones.........................................43
3.3.4 El acceso por cuenta de terceros al tratamiento de datos de las
Administraciones Públicas ..................................................................................45
Manual de Introducción a la Protección de Datos
Universidad de La Rioja Mayo - Junio 2006 2
3.3.5 El derecho a la información y el régimen excepcional para los ficheros de las
Administraciones Públicas ..................................................................................46
3.4 Deber de Secreto y Confidencialidad ............................................................47
4 Derechos de los titulares.................................................................... 48
4.1 Acceso.....................................................................................................48
4.1.1 Normativa básica ...............................................................................48
4.1.2 Titulares del Derecho..........................................................................49
4.1.3 Objeto del derecho.............................................................................50
4.1.4 Procedimiento para el ejercicio.............................................................50
4.1.5 Límites .............................................................................................51
4.1.6 Denegación del derecho ......................................................................53
4.1.7 La difusión de datos de las Administraciones Públicas a través de INTERNET..
.......................................................................................................53
4.2 Rectificación .............................................................................................56
4.3 Cancelación ..............................................................................................56
4.4 Oposición .................................................................................................57
4.5 Indemnización ..........................................................................................58
4.6 Impugnación de valoraciones ......................................................................58
4.7 Limitaciones de los derechos de los titulares en relación a los ficheros públicos ..59
5 Las Medidas de Seguridad. ................................................................. 59
5.1 Introducción .............................................................................................60
5.2 El Documento de Seguridad: contenidos .......................................................61
5.3 Funciones y Obligaciones del Personal ..........................................................62
5.4 Otros contenidos .......................................................................................62
5.5 El caso de las medias de seguridad en ficheros en soporte papel ......................65
6 Infracciones y Sanciones.................................................................... 65
6.1 Las infracciones en la LOPD ........................................................................65
6.2 El régimen especial de la responsabilidad de las Administraciones ....................68
6.3 La responsabilidad patrimonial derivada de la actuación de la Administración
Pública ..............................................................................................................71
7 La Agencia Española de Protección de Datos. ..................................... 72
8 Consideraciones particulares................................................................... 73
8.1 Análisis de algunos supuestos concretos .......................................................73
8.2 Preguntas y respuestas planteadas en la Universidad de La Rioja .....................79
Manual de Introducción a la Protección de Datos
Universidad de La Rioja Mayo - Junio 2006 3
1 Antecedentes Normativos:
1.1 El artículo 18.4 de la Constitución Española.
La preocupación por el respeto al derecho a la intimidad y la potencialidad
que la informática representaba para su vulneración recorrió el convulso continente
europeo en los años sesenta del siglo pasado. Fundamentalmente en Alemania y
Francia 1 , donde se desarrollaron las primeras leyes que regulaban la materia,
estableciendo límites al uso de la informática para el tratamiento de los datos
personales de los ciudadanos.
La preocupación fundamental no surgía de los tratamientos de datos
personales realizados por personas individuales, sino de las posibles consecuencias
de su uso por las Administraciones Públicas, en particular las fuerzas de seguridad,
toda vez que la tecnología disponible sólo era accesible para los estados dados sus
requisitos de manejo y precio.
La Constitución Española, de una manera notable se anticipó a la
preocupación existente por las posibilidades que la informática, en aquella época
casi ciencia ficción, se podían dar en relación con el derecho a la intimidad y sus
posibles intromisiones y le otorgó carácter constitucional.2
Así al regular el artículo 18, respecto del derecho a la intimidad, los
constituyentes decidieron introducir como novedad respeto de cualesquiera otros
textos constitucionales españoles anteriores, un apartado, el 4º, cuyo literal es:
“La Ley limitará el uso de la informática para garantizar el honor
y la intimidad personal y familiar de los ciudadanos y el pleno
ejercicio de sus derechos.”
Con este mandato claro al legislador, nacido en el propio texto constituyente,
era de esperar una regulación limitativa del uso de la informática al objeto de
conseguir una efectiva protección y respeto del derecho a la intimidad.
1 La primera de las leyes promulgadas, del Land de Hesse, de la ex-República Federal de Alemania (7-10-70), la ley federal alemana de 1977 (Ley Federal de Protección de Datos, Datenschutz); la ley sueca (1973); la ley francesa sobre "Informática, Ficheros y Libertades" (6-1-78), la ley federal de Austria sobre Protección de Datos Informáticos de Índole Personal (18-10-78) y muchas otras que han seguido con los años. 2 La elevación a rango constitucional de la protección frente al uso abusivo de la informática, se produjo en la Constitución portuguesa de 1976 y siguió en otros textos constitucionales, como ejemplo sin ánimo exhaustivo, Botswana (1966) Antigua (1981), Holanda (1983) Croacia (1990), etc. Prácticamente todas las Constituciones posteriores han incorporado previsiones en el mismo sentido.
Manual de Introducción a la Protección de Datos
Universidad de La Rioja Mayo - Junio 2006 4
El primer texto legal español dictado en cumplimiento de este mandato, al
menos de manera parcial, se encuentra en la Ley Orgánica 1/19823, sobre la
protección civil del derecho al honor, a la intimidad personal y familiar y a
la propia imagen (Disposición Transitoria Primera), como legislación aplicable
para la protección frente a las intromisiones ilegítimas en la intimidad y el honor
mediante el uso de la informática, mientras no se desarrolló la legislación específica
prevista en el artículo 18 de la Constitución, operando a modo de cláusula de cierre.
Sin embargo, esta norma no establecía un marco claramente definido y
resultaba insuficiente para controlar los avances tecnológicos que habrían de
sucederse en la década siguiente. Es verdad que las potencialidades de la
informática en la época se encontraban ciertamente limitadas ya que los equipos
aptos para realizar tratamientos eran muy escasos e inaccesibles.
Con el transcurrir de la década el panorama cambió radicalmente y los
equipos y sistemas de tratamiento de la información se hicieron más habituales,
primero entre las empresas y después entre los ciudadanos, multiplicando los
riesgos para la intimidad y el interés en introducirse en la esfera más íntima de las
personas utilizando procedimientos automatizados gracias a la informática.
Así finalmente, en el año 1992 se promulga el primer texto normativo en
desarrollo completo del mandato constitucional, la Ley Orgánica Reguladora del
Tratamiento Automatizado de Datos.
1.2 La Ley Orgánica Reguladora del Tratamiento Automatizado de Datos.
El 29 de octubre de 1992, es aprobada la Ley Orgánica Reguladora del
Tratamiento Automatizado de Datos, más conocida por sus iniciales, LORTAD4.
Debido a que desarrollaba el artículo 18 de la Constitución, y que dicho
artículo se encontraba en el Título Primero, Sección Primera, de los derechos y
fundamentales y de las libertades públicas, su desarrollo se realizó mediante el
procedimiento de Ley Orgánica, de acuerdo al contenido del artículo 81 de la
Constitución.
En primer lugar hay que aclarar que el derecho a la intimidad es un
derecho a la intimidad personal y familiar, considerado un derecho fundamental de
la persona humana, autónomo, limitado pero sin perder su efectiva incolumidad
(STS de 30 de Marzo de 1990 y STS de 24 de Mayo de 1990, y la STCo núm.
120/1990, de 27 de Junio). Por lo tanto, sólo es un derecho reconocido a favor de
3 LO 1/1982, de 5 de mayo (BOE 14-05-1982). 4 LO 5/1992, de 29 de octubre (BOE 31-10-1992).
Manual de Introducción a la Protección de Datos
Universidad de La Rioja Mayo - Junio 2006 5
personas físicas. No tienen derecho a la intimidad las personas jurídicas. Su
información profesional, comercial, etc. se encuentra protegida mediante
mecanismos completamente diferentes al de las personas, como son el secreto
profesional, el secreto industrial, etc.
Por lo tanto, no podrán solicitar amparo judicial o administrativo las
personas jurídicas con base en la normativa de protección de datos.
Además esta Ley, dado su carácter de desarrollo única y exclusivamente del
mandato constitucional, sólo se preocupaba de los ficheros de datos o
informaciones susceptibles de ser tratadas mediante procedimientos automatizados.
Recordemos que la Constitución se refiere simplemente a que la ley limitará el uso
de la informática y, por lo tanto, el resto de ficheros o datos incorporados a ficheros
que figuren en soporte de papel no se veían afectados por la regulación propuesta
en la LORTAD.
Una de las aportaciones fundamentales de la LORTAD es el reconocimiento
del derecho a la “autodeterminación informativa” cuya base viene constituida
por la exigencia del consentimiento consciente e informado del afectado para que la
recogida de datos sea lícita y por el derecho a decidir en todo momento el
tratamiento dado a los datos, a decidir el origen y destino de los datos de los que
uno es titular.
En la redacción de la ley ya se prevé la existencia de una tipología de
ficheros en función de su adscripción o de la naturaleza jurídica de la persona
encargada de su tratamiento. Por un lado, se regulan los ficheros de titularidad
privada, aquellos creados por empresas o particulares, cuyas relaciones y
estatutos se someten a derecho privado y, por otro, los ficheros de titularidad
pública, para todos aquellos ficheros de datos y tratamientos mantenidos por las
Administraciones.
Así, en primer lugar, cumpliendo uno de los mandatos esenciales e
imprescindibles para asegurar la máxima eficacia de sus disposiciones, la Ley
encomienda el control de su aplicación a un órgano independiente, al que atribuye
el estatuto de Ente público en los términos del art. 6.5 de la entonces vigente Ley
General Presupuestaria. A tal efecto la Ley configura un órgano especializado,
denominado Agencia de Protección de Datos (Título VI, artículo 34 y siguientes),
a cuyo frente sitúa un Director.
La Agencia se caracteriza por la absoluta independencia de su Director en el
ejercicio de sus funciones, independencia que trae causa, en primer lugar, de un
expreso imperativo legal, pero que se garantiza, en todo caso, mediante el
Manual de Introducción a la Protección de Datos
Universidad de La Rioja Mayo - Junio 2006 6
establecimiento de un mandato fijo que sólo puede ser acortado por un numerus
clausus de causas de cese.
La Agencia dispone, además, de un órgano de apoyo definido por los
caracteres de colegiación y representatividad, en el que obtienen presencia las
Cámaras que representan a la soberanía nacional, las Administraciones Públicas en
cuanto titulares de ficheros objeto de la presente Ley, el sector privado, las
organizaciones de usuarios y consumidores y otras personas relacionadas con las
diversas funciones que cumplen los archivos informatizados. Para dotar de
auténtica funcionalidad jurídica a la Agencia de Protección de Datos, se redacta el
Real Decreto 428/1993, de 26 de marzo, de Estatuto de la Agencia de
Protección de Datos, que regula de manera completa todo lo relativo a este ente.
Otra de las creaciones importantes de la LORTAD fue el Registro General
de Protección de Datos, artículo 38, cuyo objeto es la inscripción de los ficheros
de datos sobre los que recae la obligación de inscribir. El Registro proporciona a los
titulares de los datos, las personas, un lugar donde conocer los tratamientos de
datos realizados y los responsables de los mismos, así como los ficheros a los que
se incorporan, y por lo tanto la información necesaria para el ejercicio de los
derechos de acceso, oposición, rectificación y cancelación.
La LORTAD además contemplaba la posibilidad de la creación de Agencias
de Protección de Datos Autonómicas, artículo 40, para los ficheros de
titularidad pública creados en los territorios de potestades de las mismas, y sus
correspondientes Registros Generales, artículo 41, en los que conocer los ficheros
existentes para cada una de las administraciones autonómicas.
Actualmente disponen de Agencia de Protección de Datos propia la
Comunidad de Madrid, la Comunidad de Cataluña, y la Comunidad del País Vasco, y
se encuentran en proceso otras en todo el territorio nacional, como por ejemplo la
andaluza.
En la Comunidad Autónoma de La Rioja, de momento no está prevista la
creación de una Agencia Propia, en cuyo caso habría que proceder a inscribir los
ficheros de la Universidad de La Rioja ante este organismo, pero de momento la
inscripción procede ante la Agencia Española.
La Ley proponía una serie de desarrollos legislativos posteriores a su
promulgación, que tuvieron una lenta tramitación. Como por ejemplo el Real
Decreto 1332/1994, de 20 de junio, de desarrollo de determinados
aspectos de la LORTAD. Dicho Real Decreto se dedica fundamentalmente a la
regulación de la transferencia internacional de datos, a la regulación del
Manual de Introducción a la Protección de Datos
Universidad de La Rioja Mayo - Junio 2006 7
ejercicio de los derechos y tutela de los mismos y a recoger el procedimiento
sancionador. Parte de este decreto se mantiene vigente a pesar de tener origen en
una norma derogada.
1.3 El Real Decreto 994/1999, Reglamento de Medidas de Seguridad.
El texto de la LORTAD introduce la necesidad de aplicar una serie de
medidas de seguridad a los ficheros de datos de carácter personal, artículo 43.3 h),
que por vía reglamentaria se determinen, y de no proceder a su protección
adecuada se incurrirá en un hecho sancionable.
Esta obligación de incorporar una serie de medidas de seguridad viene
impuesta por el mandato de la LORTAD, artículo 9, al responsable del fichero de
adoptar medidas de índole técnico y organizativo que garanticen la seguridad de los
datos de carácter personal y eviten su pérdida alteración tratamiento o acceso no
autorizado, teniendo en cuenta el estado de la tecnología, la naturaleza de los datos
almacenados y los riesgos a que estén expuestos.
La Agencia de Protección de Datos, se expresaba de la siguiente manera en
la Memoria de 1994:
"la seguridad no puede ser lograda y mantenida por la simple
instalación de dispositivos físicos o lógicos, sino que requiere la
consideración de múltiples puntos de vista y la acción concertada
de medidas de variada naturaleza, entre las que las relacionadas
con los factores humanos no son menos importantes que las
tecnológicas".
Aumentando aún mas los factores necesarios a contemplar a la hora de
establecer un plan de protección de datos en cualquier empresa o administración.
Esta indeterminación en cuanto a las medidas aplicables a los ficheros y
tratamientos, en tanto no se promulgó el necesario desarrollo reglamentario, hacía
inviable la adecuación de las empresas al correcto cumplimiento de la legislación
pues esta no se encontraba correctamente delimitada y se provocaba inseguridad
jurídica.
Hubo que esperar 7 años para que se promulgase el Real Decreto
994/1999 de 11 de junio, por el que se aprueba el Reglamento de Medidas
de Seguridad de los Ficheros automatizados que contengan datos de
carácter personal, o RMS.
Sin embargo en esa fecha ya se estaba terminando de elaborar la que sería
Ley Orgánica 15/1999, que finalmente fue aprobada el 13 de diciembre.
Manual de Introducción a la Protección de Datos
Universidad de La Rioja Mayo - Junio 2006 8
El RMS contiene un completo catalogo de medidas técnicas y organizativas
referidas a los ficheros automatizados de datos.
El RMS comienza, artículo 1, delimitando su ámbito de aplicación, que es
de una amplitud enorme, ya que se extiende a:
“[…] garantizar la seguridad que deben reunir los ficheros
automatizados, los centros de tratamiento, locales, equipos,
sistemas, programas y las personas que intervengan en el
tratamiento automatizado de los datos de carácter personal
sujetos al régimen de la Ley Orgánica 5/1992, de 29 de octubre,
de Regulación del Tratamiento Automatizado de los Datos de
Carácter Personal.”
Pero ya entrando en las medidas de seguridad exigidas, estas se agrupan
por niveles, en orden jerárquico acumulativo, en función del grado de protección
requerido por los datos bajo los que recaen.
Así existen medidas de seguridad de nivel básico, medio y alto.
Dentro de las medidas propuestas, el documento de seguridad
probablemente sea la más importante de todas ellas, toda vez que es un
documento de obligatoria redacción para todos los responsables de ficheros y cuyo
contenido recoge y especifica las medidas a aplicar.
1.4 La Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos
de carácter personal.
Tras unos años de tímida aplicación, en diciembre de 1999, unos meses
después de la publicación del RMS, se aprueba la normativa básica vigente en la
actualidad, la Ley Orgánica 15/1999, de 13 de diciembre, de protección de
datos de carácter personal, LOPD.
La necesidad de realizar una nueva regulación en la materia venía motivada
por dos factores fundamentales, uno de tipo técnico o natural y otro legal.
Por un lado, el increíble desarrollo experimentado por la informática a lo
largo de la década de los 90 y, por otro, la necesidad de implementar una
normativa a nivel comunitario que armonizase la situación de los datos en los
diferentes Estados miembros de la Unión Europea, lo que motivó la Directiva
95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995
relativa a la protección de las personas físicas en lo que respecta al tratamiento de
datos personales y a la libre circulación de estos datos.
Manual de Introducción a la Protección de Datos
Universidad de La Rioja Mayo - Junio 2006 9
Esta Directiva, en su artículo 32.1 establecía:
«1. Los Estados miembros adoptarán las disposiciones legales,
reglamentarias y administrativas necesarias para dar
cumplimiento a lo establecido en la presente Directiva, a más
tardar al final de un período de tres años a partir de su
adopción.»
Por lo tanto debían incorporarse sus disposiciones antes de Noviembre de
1998. El legislador español, tardó un año más en transponerla.
El aspecto más importante, y novedoso, de la Directiva respecto de la
LORTAD, es su extensión, no sólo a los ficheros susceptibles de ser tratados
mediante procedimientos automatizados, sino también de aquellos datos
almacenados en soportes en papel, artículo 3.15.
Dado su carácter de norma de Derecho internacional, y dadas las razones de
su existencia - fundamentalmente la armonización de derechos entre Estados -,
recoge también una serie de normas que regirán en la circulación de información
entre los estados miembros de la Unión Europea.
La LOPD, todo su título II, dado su carácter de normativa destinada a la
protección de derechos fundamentales, se encuentra considerado como Ley
Orgánica6, sin embargo hay partes de la norma que tienen rango de ley ordinaria y
sus disposiciones se ven sometidas al régimen que le corresponde de acuerdo a esa
consideración.
El título II hace referencia a los principios rectores que operan en la materia
de Protección de Datos y que se verán mas adelante.
La LOPD se estructura en siete títulos, que engloban un total de cuarenta y
nueve artículos, seis disposiciones adicionales, tres transitorias, una derogatoria y
tres finales.
En su artículo 2 comienza definiendo su ámbito de aplicación, que se
extenderá a todos los datos registrados en soporte físico, acogiendo la ampliación
mencionada respecto del tratamiento automatizado de los mismos. Pero se exige
como requisito que ese soporte los haga susceptibles de ser tratados, tanto por el
sector público como por el privado.
Se excluye del ámbito de aplicación de la norma (artículo 2.2):
5 “Las disposiciones de la presente Directiva se aplicarán al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.” 6 Ver Disposición Final Segunda.
Manual de Introducción a la Protección de Datos
Universidad de La Rioja Mayo - Junio 2006 10
- Los ficheros de personas físicas en actividades meramente privadas
o personales, como por ejemplo agendas electrónicas, etc.
- Los ficheros sometidos a la normativa sobre protección de materias
clasificadas.
- Los ficheros establecidos para la investigación del terrorismo y
otras formas de delincuencia organizada.
Por lo tanto, los ficheros de la Universidad de La Rioja, como Administración
Pública estarán plenamente dentro del ámbito de aplicación de la LOPD.
1.5 La Resolución y normativa interna de la Universidad de La Rioja.
Dado el carácter de Administración Pública de la Universidad de La Rioja, los
datos de carácter personal de los que ella es responsable serán considerados
ficheros de titularidad pública y sometidos al régimen especial que la LOPD prevé
para este tipo de ficheros, artículo 20.
En consecuencia para la creación, modificación o supresión, de los ficheros
será necesaria la emisión de una disposición de carácter general. En el caso de la
Universidad de La Rioja, una Resolución del Rector por la que se creen,
modifiquen o supriman los ficheros, para posteriormente proceder a su notificación
al Registro General de Protección de Datos.
Las comunicaciones se realizan al Registro General de Protección de Datos
toda vez que en la Comunidad Autónoma de La Rioja, tal y como hemos visto, no
existe una Agencia Autonómica con su propio registro encargada de los ficheros de
titularidad pública creados en el territorio de su competencia.
La Universidad de La Rioja tiene inscritos 4 ficheros de datos en el Registro
General. La disposición por la que se crearon fue publicada en el Boletín Oficial del
Estado con fecha 19 de febrero de 1997.
Los ficheros inscritos por la Universidad son:
NOMBRE Descripción FECHA
ALUMNOS DATOS DE LOS ALUMNOS DE LA UNIVERSIDAD 11-02-1997
BIBLIOTECA GESTION USUARIOS SERVICIO BIBLIOTECA 11-02-1997
DATOS ECONOMICOS DATOS ECONOMICOS PARA LA GESTION
ECONOMICA DE LA UNIVERSIDAD 11-02-1997
PERSONAL DATOS DEL PERSONAL DE LA UNIVERSIDAD
PARA SU GESTION 11-02-1997
Manual de Introducción a la Protección de Datos
Universidad de La Rioja Mayo - Junio 2006 11
La Universidad de La Rioja se encuentra en pleno proceso de adaptación a la
normativa sobre protección de datos, habiendo creado para tal efecto un adjunto al
Rector responsable de la implantación de las mismas, cuyo misión es la de actuar
como el Responsable de Seguridad que la legislación dispone.
Los decretos de creación de los ficheros referidos fueron publicados el
Boletín Oficial del Estado el 19 de febrero de 19977.
El contenido de la Disposición General respecto de los ficheros es el
siguiente:
Número 1. Fichero automatizado de alumnos.
1. Finalidad: Soporte a los procesos de gestión académico-administrativa de
los expedientes de los alumnos de la Universidad y de quienes se encuentran en
proceso de incorporación a la misma.
2. Uso: Gestión de las pruebas de acceso a la Universidad, proceso de
asignación de plazas, matriculación, becas y ayudas, expediente académico,
doctorado, estudios propios, títulos,...
3. Personas o colectivos sobre los que se pretende obtener datos o resultar
obligados a suministrarlos: Aspirantes en las pruebas de acceso, solicitantes de
plaza, matrícula, becas y ayudas.
4. Procedimiento de recogida de datos: Declaraciones, formularios y
transmisión electrónica.
5. Estructura básica del fichero automatizado y descripción de los datos
contenidos en el mismo: Tablas de una base de datos relacional y ficheros
distribuidos con los siguientes tipos de datos: de carácter personal, académico y
socioeconómico.
6. Cesiones de datos que se prevén: Ministerio de Educación y Cultura,
Comunidad Autónoma de La Rioja, Consejo de Universidades y entidades bancarias
colaboradoras.
Número 2. Fichero automatizado de personal.
1. Finalidad: Gestión económico-administrativa del personal de la
Universidad.
2. Uso: Gestión de plantillas, expedientes administrativos, nóminas,
formación, convocatorias y concursos.
7 Accesible desde http://www.boe.es/g/es/bases_datos/doc.php?coleccion=iberlex&id=1997/03619&txtlen=1000 el día 20 de abril de 2006.
Manual de Introducción a la Protección de Datos
Universidad de La Rioja Mayo - Junio 2006 12
3. Personas o colectivos sobre los que se pretende obtener datos o resultar
obligados a suministrarlos: Personal al servicio de la Universidad, opositores y
participantes en procesos selectivos.
4. Procedimiento de recogida de datos: Encuestas, entrevistas, declaraciones,
formularios, transmisión electrónica de datos y registros públicos.
5. Estructura básica del fichero automatizado y descripción de los datos
contenidos en el mismo: Tablas de una base de datos relacional y ficheros
distribuidos con los siguientes tipos de datos: De carácter identificativo, personal,
profesional, académicos, de carácter social, económicos, retributivos y de carrera
profesional.
6. Cesiones de datos que se prevén: Ministerio para las Administraciones
Públicas, Ministerio de Economía y Hacienda, Ministerio de Educación y Cultura,
Comunidad Autónoma de La Rioja, Consejo de Universidades, Ministerio de Trabajo
y Seguridad Social, MUFACE y entidades bancarias colaboradoras.
Número 3. Fichero automatizado de datos económicos.
1. Finalidad: Gestión económica de la Universidad de La Rioja.
2. Uso: Gestión de expedientes económicos y administrativos, centros de
gasto, proveedores y tesorería.
3. Personas o colectivos sobre los que se pretende obtener datos o resultar
obligados a suministrarlos: Trabajadores, proveedores y usuarios o clientes de esta
Universidad.
4. Procedimiento de recogida de datos: Declaraciones, formularios,
transmisión electrónica de datos.
5. Estructura básica del fichero automatizado y descripción de los datos
contenidos en el mismo: Tablas de una base de datos relacional y ficheros
distribuidos con los siguientes tipos de datos: Datos de carácter personal,
socioeconómicos y de tramitaciones.
6. Cesiones de datos que se prevén: Ministerio de Economía y Hacienda,
Seguridad Social, Comunidad Autónoma de La Rioja y entidades bancarias
colaboradoras.
Número 4. Fichero automatizado de biblioteca.
1. Finalidad: Funcionamiento del servicio de préstamo automatizado de la
biblioteca: Control de usuarios del servicio y circulación de fondos bibliográficos.
2. Uso: Poder llevar a cabo la función de préstamo bibliotecario.
Manual de Introducción a la Protección de Datos
Universidad de La Rioja Mayo - Junio 2006 13
3. Personas o colectivos sobre los que se pretende obtener datos o resultar
obligados a suministrarlos: Usuarios reales o potenciales del servicio.
4. Procedimiento de recogida de datos: Petición del interesado y transmisión
electrónica de datos.
5. Estructura básica del fichero automatizado y descripción de los datos
contenidos en el mismo: Ficheros de bases de datos documental y relacional con
datos de carácter identificativo.
6. Cesiones de datos que se prevén: No están previstas.
No habiéndose practicado hasta la fecha nuevas inscripciones,
modificaciones o cancelaciones de los mismos ni habiéndose alterado las finalidades
declaradas ni los usos de los mismos, estas inscripciones permanecen vigentes y
responden a las habilitaciones para el tratamiento de los respetivos ficheros.
2 Definiciones
2.1 Definiciones Generales.
La LOPD incorpora, derivada de su origen en una Directiva comunitaria en
las que es práctica habitual, un precepto dedicado a contener una serie de
definiciones de conceptos utilizados en la propia norma al objeto de clarificar y
asegurar la inexistencia de conceptos jurídicos indeterminados.
Repasaremos alguno de los conceptos básicos contenidos en la ley, y otros
asociados igualmente importantes en la materia.
2.1.1 Dato de carácter personal.
Se define en la ley como cualquier información concerniente a personas
físicas identificadas o identificables. El contenido no puede ser más claro. Cualquier
información, del tipo que sea, que haga relación a cualquier circunstancia de la vida
de una persona identificada, o que sea identificable y relacionable, con esa
información constituirá un dato de carácter personal.
"Cualquier información concerniente a personas físicas
identificadas o identificables" (Art. 3, letra a) LOPD).
La Sentencia del Tribunal Constitucional núm. 292/2000 establece que "el
derecho a la protección de datos no se reduce sólo a los datos íntimos de la
persona, sino a cualquier tipo de dato personal, sea o no íntimo, cuyo conocimiento
o empleo por terceros pueda afectar a sus derechos, sean o no fundamentales,
porque su objeto no es sólo la intimidad individual".
Manual de Introducción a la Protección de Datos
Universidad de La Rioja Mayo - Junio 2006 14
De acuerdo con la definición que establece la Directiva 95/46 CE, "se
considerará identificable toda persona cuya identidad pueda determinarse, directa o
indirectamente, en particular mediante un número de identificación o uno o varios
elementos específicos, característicos de su identidad física, fisiológica, psíquica,
económica, cultural o social".
También la Directiva 95/46/CE, indica en su considerando 26 que:
"... para determinar si una persona es identificable, hay que
considerar el conjunto de los medios que puedan ser
razonablemente utilizados por el responsable del tratamiento por
cualquier otra persona, para identificar a dicha persona; que los
principios de la protección no se aplicarán a aquellos datos
hechos anónimos de manera tal que ya no sea posible identificar
al interesado; que los códigos de conducta... pueden constituir un
elemento útil para proporcionar indicaciones sobre los medios
gracias a los cuales los datos pueden hacerse anónimos y
conservarse de forma tal que impida identificar al interesado".
Por ejemplo, son datos de carácter personal el nombre, el DNI de una
persona, las calificaciones obtenidas en unos exámenes, el número de cuenta, etc.
2.1.2 Fichero de datos
Por fichero se ha de entender el conjunto organizado de datos de carácter
personal, cualquiera que fuere la forma o modalidad de su creación,
almacenamiento, organización y acceso.
Cualquier simple acumulación de informaciones sobre una persona física, por
ese simple hecho de estar unidas no constituye fichero, si no que debe haber un
criterio de organización de la información contenida que permita realizar búsquedas
y acceder a la información a partir de ciertos criterios.
Por ejemplo, cualquier agenda en papel, ordenada por un criterio alfabético,
constituye un fichero de datos, y por lo tanto es susceptible de ser sometido al
régimen de la LOPD (con la excepción aquellos ficheros se encuentre en una de las
causas de exclusión de este régimen).
Es indiferente, como se ha expuesto, la necesidad de que los datos se
encuentren tanto en soporte papel o informático, cualquier conjunto de datos
almacenados de acuerdo a una estructura constituye un fichero.
Manual de Introducción a la Protección de Datos
Universidad de La Rioja Mayo - Junio 2006 15
2.1.3 Tratamiento de Datos
Por tratamiento de datos debe entenderse a todas las operaciones y
procedimientos técnicos de carácter automatizado o no, que permitan la recogida,
grabación, conservación, elaboración, modificación, bloqueo y cancelación, así
como las cesiones de datos que resulten de comunicaciones, consultas,
interconexiones y transferencias.
Así el tratamiento de los datos es el proceso por el cual los datos sirven a
una utilidad. Ha de entenderse que los datos per se no tienen una utilidad si no son
sometidos a tratamiento. Es información que existe, pero que no despliega todo su
valor y potencialidad hasta que no se practican sobre ellos determinadas
operaciones.
Ejemplos de tratamientos son una base de datos para elaborar
correspondencia, los formularios de recogida de las matriculas en la Universidad,
etc.
2.1.4 Responsable del Fichero
Es la persona física o jurídica, de naturaleza pública o privada, u órgano
administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.
Dicha persona es responsable de todo lo que pase con los datos contenidos
en el fichero, así como de aplicar las medidas que legalmente se le impongan y será
también la que decida la finalidad de la recogida de los datos.
Esta voluntariedad de aplicar los datos a la consecución de un fin es la que
definirá varias situaciones trascendentes respecto de los datos, v. gr. a la hora de
determinar cuando nos encontramos ante un tratamiento por cuenta de terceros o
ante una comunicación.
En el caso de la Universidad de La Rioja, respecto de los ficheros declarados
y de la mayoría de los que puedan encontrarse en sus equipos e instalaciones, es la
responsable del fichero, ya que es quien decide la finalidad del tratamiento y
recogida de los datos.
2.1.5 Comunicación de datos
Es la transmisión de los datos que operan en un fichero a un tercero,
diferente al Responsable del Fichero. Como regla general la comunicación a un
tercero se encuentra permitida siempre que se cumplan los requisitos que la ley
exige (artículo 11):
Manual de Introducción a la Protección de Datos
Universidad de La Rioja Mayo - Junio 2006 16
- Que los datos cedidos lo sean para el cumplimiento de finalidades
legitimas de cesionario y cedente. Por ejemplo, Universidades o
centros educativos o de estudios.
- Que exista consentimiento del interesado a esa cesión.
El requisito del consentimiento es prescindible, no obligatorio, en una serie
de supuestos, como cuando la cesión se autorice por ley, cuando los datos hayan
sido extraídos de fuentes de acceso público, cuando la cesión sea necesaria para la
prestación de un servicio aceptado por el afectado, cuando los datos sean remitidos
al Defensor del Pueblo, al Ministerio Fiscal, a los jueces o Tribunales o al Tribunal de
Cuentas, cuando los datos sean de salud y sea necesaria su comunicación en caso
de urgencia.
Existe otro supuesto en el que no es necesario el consentimiento y que tiene
especial importancia en el ámbito Universitario. Se trata de la cesión entre
Administraciones Públicas siempre que la comunicación tenga por objeto el
tratamiento histórico, estadístico o científico. Por ejemplo, una Universidad que pide
datos de las notas de los alumnos para realizar un estudio comparativo de
rendimiento.
2.1.6 Acceso por cuenta de terceros
El acceso a los datos, ya sea en las oficinas y locales del responsable, ya sea
mediante el envío al exterior de estas, ya sea telemáticamente, no será
considerado comunicación en los términos del artículo 11, si es necesario para la
prestación de un servicio al responsable del tratamiento.
En este caso será necesario tener un contrato con la persona que presta ese
servicio en el que se regulen una serie de cuestiones fijadas legalmente.
Un ejemplo es el uso de aplicaciones informáticas con entidades bancarias
que remiten los datos de la nómina a estas para que procedan a su abono a los
trabajadores. O las labores que realice una gestoría externa.
2.1.7 Encargado del tratamiento
Es la persona, física o jurídica, autoridad pública, servicio o cualquier otro
organismo que, solo o conjuntamente con otros, trate datos personales por cuenta
del Responsable del Fichero.
Es la otra parte en la relación regulada para el acceso por cuenta de tercero
(artículo 12).
Manual de Introducción a la Protección de Datos
Universidad de La Rioja Mayo - Junio 2006 17
2.1.8 Afectado o Interesado
Es la persona física, titular de los datos que sean objeto de tratamiento.
Como ya se ha expuesto, solo las personas físicas pueden ser titulares de
derecho a la intimidad y, consecuentemente, ser protegidas.
Otro apunte importante es el de las personas fallecidas. Si el derecho a la
privacidad o a la denominada “libertad informática” desaparece con la persona o se
mantiene tras su desaparición. Es la Ley Orgánica 1/1982, de 5 de mayo, de
protección civil del derecho al honor, a la intimidad personal y familiar y a la propia
imagen la que regula los aspectos relativos a la intimidad personal y habilita para la
defensa de los mismos a los designados por el causante. Por lo tanto el afectado, a
efectos de la LOPD, deja de serlo una vez fallecido. O, en sentido contrario, solo las
personas vivas pueden ser “afectados” o “interesados” en los términos de la LOPD.
2.1.9 Consentimiento
Es la manifestación de voluntad, libre, inequívoca, específica e informada,
mediante la que el interesado consiente el tratamiento de datos personales que le
conciernen.
El consentimiento es uno de los requisitos esenciales en la protección de los
datos de carácter personal, que se relaciona con el derecho a la autodeterminación
informativa. Derecho reconocido por el Tribunal Constitucional, en sentencias como
la núm. 290/2000.
El consentimiento supone la aceptación del interesado del destino dado a sus
datos y de los medios empleados para ello, y, sin el cual, se entendería vulnerado
su derecho a la intimidad en condiciones normales.
Respecto del consentimiento se verá con mayor profundidad al hablar de los
principios informadores en la materia.
2.1.10 Procedimiento de Disociación
Supone aplicar un tratamiento a la información de manera que los datos
obtenidos no puedan asociarse a persona identificable o identificada.
Los procedimientos de disociación permiten excepcionar algunos apartados
del régimen general de protección de datos, como por ejemplo la necesidad de
contar con el consentimiento del titular en el caso de comunicaciones de datos a
terceros, e incluso sin necesidad de que los datos sean cedidos en cumplimiento de
funciones propias de cedente y cesionario (artículo 11.6).
Manual de Introducción a la Protección de Datos
Universidad de La Rioja Mayo - Junio 2006 18
Resulta una figura muy útil, por ejemplo, a la hora de realizar envíos de
información a terceras entidades.
2.1.11 Fuentes accesibles al público.
Son ficheros cuya consulta puede ser realizada, por cualquier persona, no
impedida por una norma limitativa o sin más exigencias que, en su caso, el abono
de una contraprestación.
Se da un listado exclusivo de las que se consideran fuentes de acceso
público. Este listado es exclusivo y excluyente, es decir, todas aquellas otras que no
sean las recogidas en este listado no serán consideradas fuentes de acceso público
y por lo tanto no gozarán del especial régimen de los datos extraídos de las mismas.
- El censo promocional.
- Los repertorios telefónicos.
- Listados de personas pertenecientes a colegios profesionales. (Sólo
los datos de nombre, título, profesión, actividad, grado académico,
dirección e indicación de su pertenencia).
- Los Diarios y Boletines Oficiales.
- Los medios de comunicación.
Respecto de estos últimos se han planteado discrepancias sobre la
consideración de internet como medio de comunicación. La Agencia Española de
Protección de Datos, en su Memoria del año 2000, ya resolvió la cuestión
argumentado que:
“No se considera que la procedencia de los datos recogidos en
Internet sea la de fuente accesible al público, siendo necesario,
por lo tanto, la obtención del consentimiento inequívoco,
específico e informado del afectado para realizar tratamientos
con sus datos personales publicados en Internet, aunque éstos se
hayan publicado de forma que cualquier internauta pueda
acceder a los mismos.”
Por lo tanto, con base en el principio de prudencia es recomendable seguir el
consejo de la Agencia Española de Protección de Datos y se recogen datos a través
del uso de herramientas en internet, no ampararse en el permisivo régimen de la
recogida de fuentes de acceso público para justificarlo.
Manual de Introducción a la Protección de Datos
Universidad de La Rioja Mayo - Junio 2006 19
Cierto es que esta afirmación se ha venido matizando, sobre todo a raíz de
la masiva incorporación de medios de comunicación tradicionales a internet y la
apertura de canales propios de difusión de sus contenidos, que si permiten
entonces la extracción de los datos desde estos medios en internet.
2.2 Principios Rectores en la materia.
2.2.1 El principio de calidad de los datos o de equilibrio.
Bajo el epígrafe de la norma, el artículo 4, cuyo título es calidad de los datos
se ponen de manifiesto los principios que se deben observar en el tratamiento de
los mismos, englobados dentro de esa calificación de principio de calidad de los
datos pero diferenciables en otros principios.
Viene recogido en el artículo 4.1 de la LOPD. Los datos de carácter personal
sólo se podrán recoger para su tratamiento, así como someterlos a dicho
tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el
ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan
obtenido.
Establece una serie de requisitos importantes a la hora de definir que datos
se piden a los titulares, ya que la petición debe ir relacionada con los fines
pretendidos con la recogida y el tratamiento.
Es importante ponderar bien los datos solicitados en la recogida ya que
deben ser adecuados, pertinentes y no excesivos. Por ejemplo, para la solicitud de
una inscripción en una actividad, como un congreso dentro de la Universidad,
puede considerarse no pertinente o no adecuado que se deba declarar el nivel de
renta económica de la persona, en cambio, pueden darse otras situaciones como la
solicitud de una beca o similares que si requieran tal información.
Lo anterior debe ponerse en relación con las obligaciones dispuestas en el
propio artículo 4.5, respecto de la cancelación de los datos cuando estos dejen de
ser necesarios o pertinentes para el cumplimiento de las finalidades que motivaron
su recogida y de la prohibición de conservación en forma que permita la
identificación del interesado por un periodo superior al necesario para el
cumplimiento de los fines declarados. Esto se relaciona con el siguiente principio, el
de finalidad.
2.2.2 Principio de Finalidad
La ley, artículo 4.2, establece que los datos no pueden ser utilizados para
finalidades distintas a aquellas para los que fueron recabados. Se habla de
Manual de Introducción a la Protección de Datos
Universidad de La Rioja Mayo - Junio 2006 20
finalidades incompatibles, la LORTAD hablaba de finalidades distintas, lo que ha
supuesto un cambio cualitativo de importancia, toda vez que permite flexibilizar las
finalidades a la hora de crear el fichero y adaptar mejor este a las necesidades
reales transcurrido el tiempo.
Este cambio, aunque puede provocar cierta rebaja en la protección de los
derechos de los titulares se entendió que resultaba positivo a efectos de garantizar
una mejor protección general de los derechos.
Sin embargo, este cambio no a afectado a otros preceptos relacionados,
como el de las cesiones de datos, artículo 11, en el que se continua manteniendo
un lenguaje similar, los datos de carácter personal objeto del tratamiento sólo
podrán ser comunicados a un tercero para el cumplimiento de fines directamente
relacionados con las funciones legítimas del cedente y del cesionario. O incluso en
las infracciones, artículo 44.3, que sanciona la recogida de datos con finalidades
distintas a las que constituye la finalidad legítima.
Por su parte, la Agencia Española de Protección de Datos 8 , en su
interpretación de la sentencia del Tribunal Constitucional núm. 292/2000, ha
asimilado – equiparado - nuevamente el término “incompatibles” a “distintas”.
Existen varios casos sancionados por la Agencia o los Tribunales en los que
se ha multado por no respetar este principio de finalidad. A saber, en 1999 se inició
expediente contra la Generalidad Valenciana pues remitió el 15 de octubre de 1998
a 558.454 personas mayores de 65 años, residentes en la Comunidad Valenciana,
una invitación para asistir a la gran fiesta de la tercera edad, utilizando para ello los
ficheros de la Consellería de Bienestar Social.
En el año 2000, la sanción se propuso para la Agencia Estatal de
Administración Tributaria, por utilizar para fines distintos de los tributarios los datos
personales de un contribuyente, con objeto de notificar asuntos laborales a otra
persona, conculcándose con ello el principio de finalidad.
8 Resolución de la Agencia R 0516/2003. Las “finalidades” a las que alude este apartado 2 han de ligarse o conectarse siempre con el principio de pertinencia o limitación en la recogida de datos regulado en el artículo 4.1 de la misma Ley. Conforme a dicho precepto los datos sólo podrán tratarse cuando “sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.” En consecuencia, si el tratamiento del dato ha de ser “pertinente” al fin perseguido y la finalidad ha de estar “determinada”, difícilmente se puede encontrar un uso del dato para una finalidad “distinta” sin incurrir en la prohibición del artículo 4.2 aunque emplee el término “incompatible”. A esta conclusión parece llegar también el propio Tribunal Constitucional, aunque sea de manera indirecta, cuando en su Sentencia núm. 292/2000, de 30 de noviembre, establece: “ el derecho a consentir la recogida y tratamiento de los datos personales no implica en modo alguno consentir la cesión de tales datos a terceros... Y, por tanto, la cesión de los mismos a un tercero para proceder a un tratamiento con fines distintos de los que originaron su recogida, aun cuando puedan ser compatibles con éstos supone una nueva posesión y uso que requiere el consentimiento del interesado.”
Manual de Introducción a la Protección de Datos
Universidad de La Rioja Mayo - Junio 2006 21
Existen sentencias en este sentido, de cierta repercusión social, como la del
Tribunal Superior de Justicia de Madrid, de 15 de junio de 2000, contra un
videoclub que remitió a un cliente información sobre películas para adultos
entendiendo que en el momento de la recogida de los datos la finalidad de la misma
era gestionar su suscripción y no recibir publicidad sobre películas. La multa fue de
10 millones de pesetas.
Respecto del uso de finalidades incompatibles, existen otras resoluciones de
la Agencia Española de Protección de Datos interesantes, como la que se impuso al
Ayuntamiento de Catarroja (Valencia) que cuando nacía un nuevo vecino en el
pueblo remitía una carta a los padres felicitándoles y otra a los mayores de edad
cuando alcanzaban la misma, informándoles de los contenidos de la página web
municipal, a partir de los datos obtenidos del padrón municipal.
En el ámbito universitario es importante reseñar que no se considerarán, en
ningún caso, como incompatibles el tratamiento de los datos con fines históricos,
estadísticos o científicos.
2.2.3 Principio de actualidad o exactitud
Los datos personales incorporados a un fichero han de responder a una
situación actual, han de ser exactos.
Los datos personales han de ser modificados y rectificados por el
responsable del fichero desde el momento en que conoce la modificación.
Sin duda esta es una de las circunstancias que mayores problemas crea en
los Responsables del Fichero toda vez que en ocasiones es imposible conocer la
situación de los datos respecto de su titular, su exactitud, se entiende. La
interpretación correcta pasa por considerar que los datos aportados, por ejemplo en
una matricula, son correctos y actuales, y es responsabilidad de quien los aporta
que así sea, sin que sea imputable a la Administración la existencia de una
discrepancia en los mismos, todo ello obviamente, guiado por el principio de la
buena fe.
Sin embargo, si la persona comunica el cambio de la situación de los datos y
no se establece un mecanismo adecuado de actualización pueden producirse
comunicaciones utilizando datos no actualizados y contraviniendo lo dispuesto en
este principio. El tener múltiples ficheros con informaciones duplicadas, por ejemplo,
varios ficheros con datos de alumnos en diferentes departamentos o servicios,
puede provocar descoordinaciones importantes que den lugar a problemas de este
tipo.
Manual de Introducción a la Protección de Datos
Universidad de La Rioja Mayo - Junio 2006 22
2.3 Principio de información
Cuando se recojan datos de carácter personal ha de informarse al afectado
de la existencia de un fichero, de la finalidad de la recogida, de los destinatarios de
los mismos y de los datos necesarios para poder ejercer sus derechos.
Es sin duda uno de los principios esenciales en la LOPD. Se debe informar
siempre, como regla general, al titular de las situaciones por las que atraviesan sus
datos, con independencia de la necesidad o no de consentimiento que se encuentra
más limitada.
El derecho a la autodeterminación informativa que supone que el titular
pueda decidir sobre el destino de sus datos exige que exista la información que
permita, precisamente, la toma de decisiones en cualquier sentido.
No puede hablarse de derecho a la intimidad, el derecho fundamental
protegido por todo este elenco de normas, si no existe la información suficiente
sobre los posibles riesgos a que puede verse sometido el mismo.
Es importante asegurarse de que todos los formularios utilizados para la
recogida de datos incorporan cláusulas informando de las menciones que se
dispone en el artículo 5 de la LOPD, a saber:
- La existencia de un fichero o tratamiento para esos datos, la
finalidad de la recogida y los destinatarios de la misma.
- El carácter obligatorio o no de las preguntas planteadas.
- De las consecuencias de la obtención de los datos o de la negativa
a proporcionarlos.
- De la posibilidad de ejercitar los derechos legalmente reconocidos.
- De la identidad del Responsable del tratamiento.
El principio de información, además, exige que ésta, la información, ha de
ser previa a la recogida de los datos. Antes de la consignación de los mismos los
titulares han de poder conocer estos extremos.
Las cláusulas que se redacten con el contenido obligado por el artículo 5
tienen que cumplir tres requisitos fundamentales para que se considere cumplido el
contenido del principio:
- Se debe informar expresamente. Las cláusulas deberán ir dirigidas
a quien consigne los datos. No nominalmente, se entiende, pero si
teniendo en mente a las personas como colectivo de las que se
quieren obtener los datos.
Manual de Introducción a la Protección de Datos
Universidad de La Rioja Mayo - Junio 2006 23
- La información será precisa. No se admiten errores, como por
ejemplo respecto del nombre del Responsable del Fichero o
Tratamiento.
- Y se deberá informar inequívocamente. Utilizando conceptos que no
conduzcan a ningún tipo de error y sean de fácil comprensión.
Pero todo esto no se refiere sólo a los datos a través de formularios o
procedimientos prefijados de recogida de datos, si no que estas obligaciones,
derivadas del principio de información, deben cumplirse incluso cuando la
información suministrada se realiza oralmente o sin formularios específicos.
Por ello y a efectos de evitar posibles problemas derivados de un inadecuado
cumplimiento de este principio es recomendable que todas las recogidas de datos
se realicen mediante el empleo de formularios prefijados y convenientemente
adaptados a las disposiciones de la LOPD.
Este principio opera incluso cuando no es el titular quien proporciona los
datos. Cuando se reciben datos de carácter personal provenientes de terceras
personas, y por lo tanto no recogidos directamente por el personal al servicio del
Responsable del Fichero, esta obligación de informar persiste, y deberá hacerse
efectiva igualmente dentro de los tres meses al registro de los datos.
Esto último se excepciona en varios supuestos como el caso de que los datos
hayan sido obtenidos y que sean obtenidos para su posterior tratamiento con fines
históricos, científicos o estadísticos, así como cuando los datos procedan de fuentes
accesibles al público y se destinen a actividades publicitarias.
2.4 Principio de consentimiento:
El tratamiento de los datos requiere el consentimiento inequívoco (tácito o
expreso) del afectado. Esta es al regla general que debe cumplirse si bien existen
algunas excepciones a este principio general.
El consentimiento ha de ser inequívoco y esto se relaciona con el principio de
información, y las reglas respecto a la claridad que debe concurrir en la información.
Para poder entregar el consentimiento este ha de ser informado, ha de
reunir los suficientes elementos de información para que no quepan dudas de que
el titular de los datos consiente en su tratamiento o recogida, y por lo tanto que
este es inequívoco.
Llegado a este punto es lógico plantarse la necesidad de que ese
consentimiento sea recogido de manera expresa o es admisible un consentimiento
Manual de Introducción a la Protección de Datos
Universidad de La Rioja Mayo - Junio 2006 24
tácito. La Agencia Española de Protección de Datos en su Memoria del año 2000
dejó claro su opinión sobre la admisibilidad, y requisitos para la misma, del
consentimiento tácito.
“Se ha planteado si el consentimiento al que se refieren diversos
preceptos de la Ley Orgánica 15/1999 puede ser tácito o si, en
todos los supuestos, deberá el mismo manifestarse de forma
expresa. El artículo 3.h) de la Ley Orgánica 15/1999 define que el
consentimiento del interesado como "toda manifestación de
voluntad, libre, inequívoca, específica e informada, mediante la
que el interesado consienta el tratamiento de datos personales
que le conciernen.", de lo cual se desprende la necesaria
concurrencia para que el consentimiento pueda ser considerado
conforme a derecho de los cuatro requisitos enumerados en dicho
precepto. Un adecuado análisis del concepto exigirá poner de
manifiesto cuál es a juicio de esta Agencia la interpretación que
ha de darse a estas cuatro notas características del
consentimiento, siguiendo a tal efecto los criterios sentados en
las diversas recomendaciones emitidas por el Comité de Ministros
del Consejo de Europa en relación con la materia que nos ocupa.
A la luz de dichas recomendaciones, el consentimiento habrá de
ser:
a) Libre, lo que supone que el mismo deberá haber sido
obtenido sin la intervención de vicio alguno del consentimiento en
los términos regulados por el Código Civil.
b) Específico, es decir referido a una determinada
operación de tratamiento y para una finalidad determinada,
explícita y legítima del responsable del tratamiento, tal y como
impone el artículo 4.2 de la Ley Orgánica 15/1999.
c) Informado, es decir que el afectado conozca con
anterioridad al tratamiento la existencia del mismo y las
finalidades para las que el mismo se produce. Precisamente por
ello el artículo 5.1 de la Ley Orgánica impone el deber de
informar a los interesados de una serie de extremos que en el
mismo se contienen.
d) Inequívoco, lo que implica que no resulta admisible
deducir el consentimiento de los meros actos realizados por el
afectado (consentimiento presunto), siendo preciso que exista
Manual de Introducción a la Protección de Datos
Universidad de La Rioja Mayo - Junio 2006 25
expresamente una acción u omisión que implique la existencia
del consentimiento.
De lo que se ha indicado se desprende que de las
características del consentimiento no se infiere necesariamente
su carácter expreso en todo caso, razón por la cual en aquellos
supuestos en que el legislador ha pretendido que el
consentimiento deba revestir ese carácter, lo ha indicado
expresamente; así sucede en el caso de el tratamiento de datos
especialmente protegidos indicando el artículo 7.2 la necesidad
de consentimiento expreso y escrito para el tratamiento de los
datos de ideología, religión, creencias y afiliación sindical, y el
artículo 7.3 la necesidad de consentimiento expreso aunque no
necesariamente escrito para el tratamiento de los datos
relacionados con la salud, el origen racial y la vida sexual.
Por tanto, el consentimiento podrá ser tácito, en el
tratamiento de datos que no sean especialmente protegidos
(artículo 7.2 y 7.3 de la Ley Orgánica 15/1999), si bien para que
ese consentimiento tácito pueda ser considerado inequívoco será
preciso otorgar al afectado un plazo prudencial para que pueda
claramente tener conocimiento de que su omisión de oponerse al
tratamiento implica un consentimiento al mismo.”
De acuerdo al principio de autodeterminación informativa, el
consentimiento podrá ser revocado. El problema es que la norma exige una causa
justa para ello. Sin embargo, esto parece chocar con el derecho a la cancelación de
los datos y el propio derecho a la autodeterminación informativa.
Al igual que con el principio de información, es recomendable procurar
obtener siempre mediante el uso de formularios el consentimiento del afectado a
pesar de no ser este siempre exigible, especialmente en el caso de una
Administración Pública, como una Universidad, en que no es necesario el
consentimiento cuando los datos se recojan para funciones propias o en el ámbito
de sus competencias y cuando se refieran a las partes de una relación contractual,
de cualquier tipo como la administrativa en las matrículas universitarias.
En estos supuestos se permite que el titular pueda oponerse al tratamiento
cuando existan motivos que justifiquen su oposición.
Dado que como se ha dicho el consentimiento puede ser necesario para la
recogida y tratamiento de determinados datos, y dado el contenido del artículo 16.2
de la Constitución española que establece que:
Manual de Introducción a la Protección de Datos
Universidad de La Rioja Mayo - Junio 2006 26
“Nadie podrá ser obligado a declarar sobre su ideología, religión o
creencias.”
Será necesario concretar de manera adecuada las finalidades de la recogida,
así como los formularios o instrumentos para la misma, pues precisamente son
algunos de los tipos de datos sobre los que recae dicha obligación de prestar
consentimiento expreso y por escrito, y que además será obligatorio informar al
titular de la no obligación de informar sobre estos extremos.
Puede darse el caso también del consentimiento otorgado por menores de
edad y su validez como, por ejemplo, en matriculas de personas que cumplen la
mayoría de edad con posterioridad a la fecha de ingreso, etc. La Agencia Española
de Protección de Datos, en su Memoria del año 2000, estableció que:
“[…] la minoría de edad no supone una causa de incapacitación
(de las reguladas en el artículo 200 del Código Civil), por lo que
aquélla habrá de ser analizada en cada caso concreto a los
efectos de calificar la suficiencia en la prestación del
consentimiento en atención a la trascendencia del acto de
disposición y a la madurez del disponente. A mayor
abundamiento, y en lo referente a la prestación del
consentimiento para la cesión, debe recordarse que, conforme
dispone el artículo 4.3 de la Ley Orgánica 1/1996, de 15 de enero,
de Protección Jurídica del Menor, "se considera intromisión
ilegítima en el derecho al honor, a la intimidad personal y familiar
y a la propia imagen del menor, cualquier utilización de su
imagen o su nombre en los medios de comunicación que pueda
implicar menoscabo de su honra o reputación, o que sea
contraria a sus intereses incluso si consta el consentimiento del
menor o de sus representantes legales". Del tenor de esta
disposición se deriva la posibilidad de que haya sido el propio
menor quien, por sí mismo, haya prestado su consentimiento a la
utilización de su propia imagen, sin precisar para ello la
asistencia de su representante legal, lo que no hace sino ahondar
en la conclusión ya referida anteriormente, a partir de lo
dispuesto en el artículo 162 del Código Civil. En consecuencia, a
tenor de las normas referidas, cabe considerar que los mayores
de catorce años disponen de las condiciones de madurez precisas
para consentir, por sí mismo, el tratamiento automatizado de sus
datos de carácter personal.”
Manual de Introducción a la Protección de Datos
Universidad de La Rioja Mayo - Junio 2006 27
3 Tipología
3.1 Datos Básicos
Existen diferentes tipos de datos en atención a su nivel de compromiso con
la intimidad de la persona y el potencial peligro que para ésta puede suponer su
utilización.
El RMS, artículos 3 y 4, establece la diferente tipología de los datos, de
acuerdo con los niveles de seguridad en él contemplados.
Así, los datos de nivel básico son aquellos que no se encuentren dentro del
resto de las categorías determinadas, nivel medio y nivel avanzado. Se definen por
exclusión.
Ejemplos son el nombre, apellidos, la dirección, el teléfono, etc.
3.2 Datos Especialmente Protegidos
La LOPD, en su artículo 7, recoge lo que denomina datos especialmente
protegidos. Son informaciones referidas a aquellas materias antes mencionadas
de datos que gozan en nuestra Constitución de un estatus especial. Así dentro de
esta categoría califica a los datos sobre ideología, religión o creencias. También son
datos especialmente protegidos aquellos que hagan referencia al origen racial, a la
salud o a la vida sexual de las personas.
Todos estos datos son calificados en el RMS como datos de nivel alto, ya que
las medidas que deben protegerlos deben ser las correspondientes a este nivel en
el propio RMS
El RMS en su artículo 4.2 establece, además, una especial categoría de datos,
de tipo intermedio, cuyo tratamiento es exclusivo de Administraciones Públicas,
LOPD, artículo 7.5.
Esta inclusión en el apartado 5º justifica la existencia de esta otra categoría,
a la que son aplicables las medidas de seguridad de tipo medio y se califican de
esta manera, datos de nivel medio.
3.2.1 Datos de Ideología.
Respecto de los datos de ideología se han relacionado con los datos de
afiliación sindical y los problemas y obligaciones que pueden darse en relación a los
mismos.
Los datos de ideología suelen ir referidos a partidos políticos y similares,
siendo bastante infrecuentes en otros ámbitos.
Manual de Introducción a la Protección de Datos
Universidad de La Rioja Mayo - Junio 2006 28
3.2.2 Afiliación sindical
La LOPD, artículo 7.2, recoge estos datos como especialmente protegidos, lo
que supone una novedad respecto de la LORTAD, motivada por la Directiva 95/46.
También influyeron las sentencias del Tribunal Constitucional núm. 11/1998, de 13
de enero y núm. 94/1998, de 4 de mayo, sobre el uso dado por empresarios a los
datos de afiliación sindical de los trabajadores con motivo de una huelga.
Los empresarios condenados utilizaron los datos de afiliación sindical para
detraer una parte del salario a los trabajadores que manifestaron estar afiliados al
sindicato convocante de la misma, sin averiguar si los mismos acudieron
efectivamente a su puesto de trabajo.
Hay varias resoluciones de la Agencia Española de Protección de Datos, ya
que desde el principio ha sido este uno de los temas que mayores controversias ha
suscitado, y en particular se recogen varias cuestiones en la memoria del año
1996.9
CESIONES DE DATOS DE LA EMPRESA A LOS SINDICATOS:
“Como ya hemos dicho, el artículo 11 de la Ley Orgánica exige
con carácter general la necesidad del consentimiento del afectado
para las cesiones, salvo que la cesión esté prevista por una ley.
En este sentido, en el artículo 11 de la Ley Orgánica de Libertad
Sindical se prevé tan sólo que el empresario proceda al
descuento de la cuota sindical sobre los salarios y a la
9 Por ejemplo: CESIÓN DEL CENSO DE AFILIADOS PARA ELECCIONES DENTRO DEL PROPIO SINDICATO. Se plantea a la Agencia de Protección de Datos la legalidad de ceder el censo de afiliados con derecho a voto a los candidatos en las elecciones internas de una organización sindical. El artículo 11 de la Ley Orgánica determina que para proceder a la cesión de datos de carácter personal, será necesario con carácter general bien el consentimiento del afectado, salvo que exista una ley que prevea otra cosa, o se trate de una de las excepciones previstas en el propio artículo. En principio, no parecen existir previsiones legales a este respecto, por lo que la cesión a los candidatos del censo de afiliados sólo sería posible en la medida en que estuviera previsto en los Estatutos del Sindicato, dado que al incorporarse a un sindicato se estaría prestando el consentimiento a las normas de funcionamiento del mismo. CESIÓN DE LOS DATOS DE TRABAJADORES A UN SINDICATO QUE OSTENTA LA CONDICIÓN DE MAYOR REPRESENTATIVIDAD EN UNA COMUNIDAD AUTÓNOMA. Un sindicato pregunta sobre la legalidad de obtener datos personales recogidos en los Organismos Públicos del Instituto Nacional de la Seguridad Social, la Tesorería General, el INEM, la Dirección Provincial de Trabajo, Inspección de Trabajo, MUFACE, ya sea por vía de soporte informatizado, como por conexión informática directa. En concreto se solicitan los siguientes datos: 1) Relación de las empresas y número de inscripción patronal que operen en un determinado sector productivo. 2) Relación de DNI de todos los trabajadores y números de inscripción a la Seguridad Social, que consten en alta. 3) Situación legal de desempleo, incapacidad laboral transitoria, invalidez, condición de autónomo o por cuenta ajena, o cualquier otra situación análoga en que se puedan hallar los trabajadores anteriormente citados. El sindicato solicitante considera que su condición de mayor representatividad y el papel que la Constitución reconoce a los sindicatos, les habilita para obtener los datos referidos de las Administraciones Públicas. La cesión de los datos que se solicita estaría amparada en dos normas con rango de Ley, a saber, el Estatuto de los Trabajadores y la Ley Orgánica de libertad sindical, y en el propio carácter público de alguno de los datos. Sin embargo, no hay que olvidar que el artículo 4 de la Ley establece con carácter general que los datos habrán de ser adecuados, pertinentes y no excesivos, y que La Ley Orgánica vincula los datos a la finalidad para la que se obtuvieron, no pudiendo emplearse para fines distintos. La interpretación conjunta de todos estos antecedentes exige que la petición se realizará para un fin concreto y especificado, no pudiendo realizarse peticiones masivas que excederían de los principios generales de nuestra ley orgánica.
Manual de Introducción a la Protección de Datos
Universidad de La Rioja Mayo - Junio 2006 29
correspondiente transferencia a solicitud del sindicato del
trabajador afiliado, y previa conformidad siempre de éste, por lo
que la cesión de datos por parte del empresario se circunscribe,
exclusivamente, a los datos estrictamente necesarios para
cumplir la obligación de pagar la cuota. Para los datos que
excedan del cumplimiento de la misma será necesario además el
consentimiento del trabajador así como la conformidad del
empresario.”
Otro caso que puede plantearse en la Universidad de La Rioja:
CESIÓN DE DATOS DE UN ORGANISMO PÚBLICO A LOS
REPRESENTANTES SINDICALES, RELATIVOS AL PERSONAL DEL
MISMO: “A las Administraciones Públicas, en concreto, les será
de aplicación la Ley 9/1987 de 12 de junio de los órganos de
representación, determinación de las condiciones de trabajo y
Participación del Personal al Servicio de las Administraciones
Públicas, que determina qué información de carácter personal
debe cederse a los sindicatos. Así, en el artículo 9, apartado 3, a)
se declara su derecho a ser informados de las sanciones
impuestas por faltas muy graves, y en el apartado 4, c), a tener
conocimiento y ser oídos en cuanto a las cantidades que perciba
cada funcionario por complemento de productividad. Por otra
parte, la normativa de elecciones a los órganos de representación
del personal al servicio de las Administraciones Públicas de la Ley
9/87 de 12 de junio, en la última redacción del artículo 13
establece que:
"Las organizaciones sindicales con capacidad para
promover elecciones sindicales tendrán derecho a que la
Administración Pública correspondiente les suministre el censo de
personal funcionario de las unidades electorales afectadas,
distribuido por Organismos o centros de trabajo, con el fin de que
puedan llevar a cabo tal promoción en los respectivos ámbitos".
La Ley 2/1991, de 7 de enero, sobre derechos de información de
los representantes de los trabajadores en materia de contratación,
establece en el artículo primero, la obligación por parte del
empresario de entregar a la representación legal de los
trabajadores una copia básica de todos los contratos que deban
celebrarse por escrito, a excepción de los contratos de relación
laboral especial de alta dirección, sobre los que se establece el
Manual de Introducción a la Protección de Datos
Universidad de La Rioja Mayo - Junio 2006 30
deber de notificación a la representación legal de los trabajadores.
Con el fin de comprobar la adecuación del contenido del contrato
a la legalidad vigente, esta copia básica contendrá todos los
datos del contrato, a excepción del número del D.N.I., el
domicilio, el estado civil y cualquier otro que, de acuerdo con la
Ley Orgánica 1/1982 de 5 de mayo, pudiera afectar a la
intimidad personal. Tanto los representantes de la Administración
como los representantes de las organizaciones sindicales y de las
asociaciones que tengan acceso a la copia básica observarán
sigilo profesional, no pudiendo utilizar dicha documentación para
fines distintos de los que motivaron su conocimiento. Por último,
el artículo 11 de la Ley Orgánica de Libertad Sindical, prevé tan
sólo que el empresario, o en su caso la Administración, proceda
al descuento de la cuota sindical sobre los salarios y a la
correspondiente transferencia a solicitud del sindicato del
trabajador afiliado, y previa conformidad siempre de éste, por lo
que la cesión de datos por parte del empresario se circunscribe,
exclusivamente, a los datos estrictamente necesarios para
cumplir la obligación de pagar la cuota, y para los datos que
excedan del cumplimiento de la misma, será necesario además el
consentimiento del trabajador y la conformidad del empresario.
El conjunto de preceptos y principios citados determina que la
cesión deberá ampararse en este caso en normas con rango de
Ley, que caso por caso, podrán prever la cesión de modo
individualizado y concreto, por lo que la solicitud planteada
(relaciones nominales de personal que presta sus servicios en la
misma, puestos de trabajo que ocupan, vínculo jurídico que
mantienen con la Administración, antigüedad y carácter
provisional o definitivo de la cobertura de las plazas), carece en
principio de una habilitación legal concreta.”
En la Memoria de la Agencia Española de Protección de Datos del año 2000,
se incorporaron otras resoluciones sobre el mismo tema, de especial importancia
dado que ya incorporan la reciente LOPD y la importantísima sentencia del Tribunal
Constitucional núm. 292/2000.
CESIÓN A LOS REPRESENTANTES SINDICALES DE LOS
TRABAJADORES: “Se ha planteado reiteradamente por distintas
Administraciones Públicas si es posible la cesión a los integrantes
de la Junta de Personal de una relación de funcionarios, en la que
Manual de Introducción a la Protección de Datos
Universidad de La Rioja Mayo - Junio 2006 31
se incluirán determinados datos de carácter personal referentes a
los mismos. Teniendo en cuenta lo indicado en la Sentencia del
Tribunal Constitucional 292/2000 de 30 de noviembre, analizada
en otro lugar de esta memoria, la cesión de datos por parte de
las Administraciones Públicas (salvo cuando el cesionario sea otra
Administración y la transmisión se funde en el ejercicio de una
misma competencia) se encuentra sometida al principio de
reserva de Ley, por lo que es necesario delimitar si en este caso
existe una Ley habilitante. En este sentido, el artículo 9 de la Ley
9/1987, reguladora de los Órganos de Representación y
Condiciones de Trabajo y Participación del Personal al Servicio de
las Administraciones Públicas enumera las funciones atribuidas a
las Juntas de Personal, incluyéndose entre las mismas, no sólo la
recepción de información, sino también "vigilar el cumplimiento
de las normas vigentes en materia de condiciones de trabajo,
seguridad social y empleo, y ejercer, en su caso, las acciones
legales oportunas ante los organismos competentes" (artículo
9.6) y "vigilar y controlar las condiciones de seguridad e higiene
en el desarrollo del trabajo" (artículo 9.7). Por su parte, el
artículo 15.3 de la Ley 30/1984, de 2 de agosto, de Medidas para
la Reforma de la Función Pública, establece el carácter público de
las Relaciones de Puestos de Trabajo, si bien las mismas, no
contendrán, a la vista del contenido exigido por el artículo 15.1
b), los datos del personal concreto que ocupe un determinado
puesto de trabajo, sino exclusivamente las características de
cada uno de los puestos de trabajo existentes en cada
dependencia Administrativa, siendo los datos personales referidos
a cada funcionario público, de acceso restringido a éste último, a
tenor de lo dispuesto en el artículo 13.5, párrafo segundo de la
propia Ley 30/1984. Se hace preciso, en consecuencia,
cohonestar las atribuciones conferidas a las Juntas de Personal en
la Ley 9/1987 con la protección otorgada a los datos
automatizados de carácter personal, regulada en la Ley Orgánica
15/1999, y con los límites previstos en el artículo 21 para la
posible cesión de esos datos. Pues bien, según el criterio de la
Agencia la función de vigilancia y protección de las condiciones de
trabajo, atribuida a las Juntas de Personal por la Ley 9/1987
puede llevarse a adecuado desarrollo sin necesidad de proceder a
Manual de Introducción a la Protección de Datos
Universidad de La Rioja Mayo - Junio 2006 32
una cesión masiva de los datos referentes al personal que presta
sus servicios en el Órgano o Dependencia correspondiente. Sólo
en el supuesto en que la vigilancia o control se refieran a un
sujeto concreto, que haya planteado.”
3.2.3 Religión y Creencias:
En el ámbito educativo se han declarado ficheros que contienen datos sobre
religión y creencias en tanto que algunas asignaturas con estos contenidos pueden
formar parte del currículo escolar, lo que permite agrupar los alumnos por su
orientación religiosa o no.
Sin embargo, a al vista de estas notificaciones, y alguna consulta practicada,
la Agencia Española de Protección de Datos en su Memoria del año 2002, aclaró la
situación respecto de este tipo de datos y su nivel de consideración y protección:
NATURALEZA DEL DATO DE OPCIÓN POR LA ASIGNATURA DE
RELIGIÓN: “Se ha formulado una consulta cuestionando si el
dato relativo al hecho de que un determinado alumno de un
centro docente opte por cursar la asignatura de religión o la
alternativa prevista por la Ley ha de ser considerado como dato
especialmente protegido a los efectos previstos en la LOPD.
Como punto de partida, el artículo 7.2 de la Ley Orgánica
15/1999 dispone que «sólo con el consentimiento expreso y por
escrito del afectado podrán ser objeto de tratamiento los datos
de carácter personal que revelen la ideología, afiliación sindical,
religión y creencias», prohibiendo el artículo 7.4 «los ficheros
creados con la finalidad exclusiva de almacenar datos de carácter
personal que revelen la ideología, afiliación sindical, religión,
creencias, origen racial o étnico, o vida sexual». Estas
previsiones deben ponerse en conexión con lo establecido en el
artículo 7.1 de la Ley Orgánica, a cuyo tenor «nadie podrá ser
obligado a declarar sobre su ideología, religión o creencias».
Dicho precepto es una mera reproducción de lo establecido, a su
vez, en el artículo 16.2 de la Constitución. De este modo, ha de
considerarse que los datos a los que se refiere el artículo 7.2 de
la Ley Orgánica 15/1999 son aquéllos que efectivamente se
encuentran directamente vinculados con las creencias religiosas,
filosóficas, políticas o morales de la persona, protegidas
constitucionalmente a través del derecho fundamental a la
libertad ideológica, religiosa y de culto, consagrado por el artículo
Manual de Introducción a la Protección de Datos
Universidad de La Rioja Mayo - Junio 2006 33
16.1 de la Constitución. Sentados así los términos de
interpretación de lo establecido en el artículo 7.2 de la Ley
Orgánica 15/1999, debe ahora plantearse si el hecho de cursar la
asignatura de religión, o el hecho de no cursarla, suponen la
revelación de un dato protegido por el citado derecho
fundamental, que coadyuva a la especial protección que también
confiere la LOPD, es decir, si ese dato revela efectivamente las
convicciones religiosas de la persona a la que se refiere. Pues
bien, el hecho mismo de cursar la asignatura de religión no
revela necesariamente que el estudiante profese las creencias a
las que tal asignatura se refiere, del mismo modo que el hecho
de no cursarla no revela la inexistencia de esas creencias, sino
que tal circunstancia puede deberse al estudio de la religión en
otros foros distintos del escolar. Es decir, a nuestro juicio, lo
único que revela el dato de optar por cursar la asignatura de
religión sería el interés del alumno por conocer los principios,
historia y preceptos de la misma, sin que ello implique una
efectiva confesionalidad del mismo, a cuya declaración no podría
encontrarse obligado. Por este motivo, el dato relacionado con el
hecho de que el alumno curse la asignatura de religión, no
vinculada a la participación del alumno en un rito relacionado con
una religión determinada (lo que sí implicaría que el individuo
profesa dicha creencia religiosa), no puede ser considerado por sí
mismo un dato que revele inmediatamente las creencias
religiosas del afectado, por lo que su régimen no se encuentra
sometido a lo establecido en las normas que se citaron
anteriormente, dado que el dato no tendría la naturaleza de
especialmente protegido.”
Así, por ejemplo, en el caso de la Universidad de La Rioja, en la que es
posible cursar una asignatura de Religión, como optativa o libre elección para varias
titulaciones, ello no supone la necesidad de declarar el fichero de los alumnos como
de nivel alto por ese motivo.
3.2.4 Origen Racial
Estos datos harán relación al origen de la persona, país de procedencia,
nacionalidad o, incluso, el estar enmarcado en un determinado grupo en función de
sus rasgos genéticos.
Manual de Introducción a la Protección de Datos
Universidad de La Rioja Mayo - Junio 2006 34
En entornos académicos pueden encontrarse datos de origen racial
motivados por la necesidad de realizar estudios e investigaciones científicas con
personas de diferentes razas y composición genética o morfológica por lo que
pueden encontrarse en la necesidad de tratar estos datos con el fin de realizar
estudios adecuados.
Además, en la Universidad de La Rioja se realizan ciertas labores de
colaboración con organizaciones que ayudan a personas provenientes de otras
culturas o países y en los que se puedan tratar los datos de este tipo.
3.2.5 Datos de Salud.
La definición de datos de salud debe buscarse en la Memoria Explicativa del
Convenio 108 del Consejo de Europa y en la Recomendación R (97) 5 del Comité de
Ministros del Consejo de Europa.
Para el citado convenio, en su aparatado 45, son datos de salud:
“las informaciones concernientes a la salud, pasada, presente o
futura, física o mental de un individuo de buena salud, enfermo o
fallecido” y añade que “estos datos comprenderán también
informaciones relativas al abuso del alcohol y al consumo de
drogas”.
Por su parte la Recomendación R (97) 5, establece que:
“la expresión datos médicos hace referencia a todos los datos de
carácter personal relativos a la salud de una persona. Afecta
igualmente a los datos manifiesta y estrechamente relacionados
con la salud, así como con las informaciones genéticas”10.
Respecto de los datos de salud, en el ámbito académico pueden darse casos
de personas con deficiencias que acudan a la universidad o se realicen actividades
específicas.
También están los supuestos de reconocimientos médicos al personal al
servicio de la administración, como cualquier otro empleado de una empresa, en
virtud del cumplimiento de una normativa concreta, la Ley de Prevención de
Riesgos Laborales.
La Agencia Española de Protección de Datos, en su Informe 434/2004 ha
tenido ocasión de pronunciarse sobre este extremo de manera clara:
10 Sobre los datos de salud, puede consultarse la Memoria de la Agencia Española de Protección de Datos del año 2003.
Manual de Introducción a la Protección de Datos
Universidad de La Rioja Mayo - Junio 2006 35
TRATAMIENTO CONFORME A LA LEGISLACIÓN DE PREVENCIÓN
DE RIESGOS LABORALES:
La consulta plantea dudas sobre el consentimiento para el
tratamiento y cesión de datos personales y de salud de los
trabajadores derivadas de las acciones de vigilancia de la salud
efectuadas por la consultante en cumplimiento de lo dispuesto en
la Ley 31/1995, de 8 de noviembre, de Prevención de Riesgos
Laborales y su adecuación a lo dispuesto por la Ley Orgánica
15/1999, de 13 de diciembre, de Protección de datos de Carácter
Personal.
[…] En cumplimiento del deber de protección, la Ley
31/1995 establece como obligación de la empresa, la de
constituir un servicio de prevención que se responsabilice de las
actividades de prevención y protección de riesgos laborales. Para
la realización de dicha actividad deberá contar bien con un
servicio de prevención propio o contratar con un servicio de
prevención ajeno debidamente acreditado (artículo 14.2).
Atendiendo a lo que acabamos de indicar y en relación con
el acceso a determinados datos de carácter personal de los
trabajadores por parte de los Delegados de Prevención, de cara a
la aplicación de la normativa sobre protección de datos de
carácter personal, constituye en principio un supuesto de cesión
de datos.
Con carácter general puede señalarse que la cesión o
comunicación de datos, considerada conforme al artículo 3 i) de
la Ley 15/1999 como “Toda revelación de datos realizada a una
persona distinta del interesado” se regula con carácter general en
el artículo 11.1 al disponer que “los datos de carácter personal
objeto del tratamiento sólo podrán ser comunicados a un tercero
para el cumplimiento de fines directamente relacionados con las
funciones legítimas del cedente y del cesionario con el previo
consentimiento del interesado”. Este consentimiento sólo se verá
exceptuado en los supuestos contemplados en el artículo 11.2,
cuyo apartado a) prevé la posible cesión inconsentida de los
datos cuando una norma con rango de Ley así lo disponga.
En este sentido, el artículo 30.3 de la Ley 31/1995 señala
que “Para la realización de la actividad de prevención, el
empresario deberá facilitar a los trabajadores designados el
Manual de Introducción a la Protección de Datos
Universidad de La Rioja Mayo - Junio 2006 36
acceso a la información y documentación a que se refieren los
artículos 18 y 23 de la presente Ley”.
A su vez, el artículo 23 señala, “1. El empresario deberá
elaborar y conservar a disposición de la autoridad laboral la
siguiente documentación relativa a las obligaciones establecidas
en los artículos anteriores:
a) Plan de prevención de riesgos laborales, conforme a lo
previsto en el apartado 1 del artículo 16 de esta Ley
b) Evaluación de los riesgos para la seguridad y la salud
en el trabajo, incluido el resultado de los controles periódicos de
las condiciones de trabajo y de la actividad de los trabajadores,
de acuerdo con lo dispuesto en el párrafo a) del apartado 2 del
artículo 16 de esta Ley.
c) Planificación de la actividad preventiva, incluidas las
medidas de protección y de prevención a adoptar y, en su caso,
material de protección que deba utilizarse, de conformidad con el
párrafo b) del apartado 2 del artículo 16 de esta Ley.
d) Práctica de los controles del estado de salud de los
trabajadores previstos en el artículo 22 de esta Ley y
conclusiones obtenidas de los mismos en los términos recogidos
en el último párrafo del apartado 4 del citado artículo.
e) Relación de accidentes de trabajo y enfermedades
profesionales que hayan causado al trabajador una incapacidad
laboral superior a un día de trabajo. En estos casos el empresario
realizará, además, la notificación a que se refiere el apartado 3
del presente artículo.
2. En el momento de cesación de su actividad, las
empresas deberán remitir a la autoridad laboral la documentación
señalada en el apartado anterior.
3. El empresario estará obligado a notificar por escrito a la
autoridad laboral los daños para la salud de los trabajadores a su
servicio que se hubieran producido con motivo del desarrollo de
su trabajo, conforme al procedimiento que se determine
reglamentariamente.
4. La documentación a que se hace referencia en el
presente artículo deberá también ser puesta a disposición de las
autoridades sanitarias al objeto de que éstas puedan cumplir con
Manual de Introducción a la Protección de Datos
Universidad de La Rioja Mayo - Junio 2006 37
lo dispuesto en el artículo 10 de la presente Ley y en el artículo
21 de la Ley 14/1986, de 25 de abril General de Sanidad.”
Esto se corrobora atendiendo a lo dispuesto en el artículo
7 del Reglamento de los servicios de prevención de riesgos
laborales aprobado por Real Decreto 39/1997, de 17 de enero,
que concreta la obligación prevista en el artículo 23 que se citaba
al establecer que “En la documentación a que hace referencia el
párrafo a) del apartado 1 del artículo 23 de la Ley de Prevención
de Riesgos Laborales deberán reflejarse, para cada puesto de
trabajo cuya evaluación ponga de manifiesto la necesidad de
tomar alguna medida preventiva, los siguientes datos:
a) La identificación del puesto de trabajo.
b) El riesgo o riesgos existentes y la relación de
trabajadores afectados.
c) El resultado de la evaluación y las medidas preventivas
procedentes, teniendo en cuenta lo establecido en el artículo 3.
d) La referencia de los criterios y procedimientos de
evaluación y de los métodos de medición, análisis o ensayo
utilizados, en los casos en que sea de aplicación lo dispuesto en
el apartado 3 del artículo 5.”
Como conclusión de lo hasta ahora expuesto, existirá una
habilitación legal para la cesión de datos de los trabajadores
afectados sin su consentimiento, sólo en el supuesto del
cumplimiento de las obligaciones establecidas en el párrafo a) del
apartado 1 del artículo 23 de la Ley 31/1995.
En lo que se refiere a la cesión de los datos de salud de
los trabajadores a los Delegados de Prevención, debemos señalar
que, estos datos, dentro de los de carácter personal, tienen un
régimen jurídico especial de protección. Ello tiene reflejo en el
artículo 7. 3 de la Ley Orgánica 15/1999, de 13 de diciembre, de
Protección de datos de Carácter Persona, relativo a los datos
especialmente protegidos, que indica: “Los datos de carácter
personal que hagan referencia al origen racial, a la salud y a la
vida sexual sólo podrán ser recabados, tratados y cedidos cuando,
por razones de interés general, así lo disponga una Ley o el
afectado consienta expresamente”.
Manual de Introducción a la Protección de Datos
Universidad de La Rioja Mayo - Junio 2006 38
En este sentido, la Ley 31/1995 establece en su artículo
22, relativo a la obligación por parte del empresario de garantizar
la vigilancia de la salud a los trabajadores, lo siguiente:
“1. El empresario garantizará a los trabajadores a su
servicio la vigilancia periódica de su estado de salud en función
de los riesgos inherentes al trabajo.
Esta vigilancia sólo podrá llevarse a cabo cuando el
trabajador preste su consentimiento. De este carácter voluntario
sólo se exceptuarán, previo informe de los representantes de los
trabajadores, los supuestos en los que la realización de los
reconocimientos sea imprescindible para evaluar los efectos de
las condiciones de trabajo sobre la salud de los trabajadores o
para verificar si el estado de salud del trabajador puede constituir
un peligro para el mismo, para los demás trabajadores o para
otras personas relacionadas con la empresa o cuando así esté
establecido en una disposición legal en relación con la protección
de riesgos específicos y actividades de especial peligrosidad.
En todo caso se deberá optar por la realización de aquellos
reconocimientos o pruebas que causen las menores molestias al
trabajador y que sean proporcionales al riesgo.
2. Las medidas de vigilancia y control de la salud de los
trabajadores se llevarán a cabo respetando siempre el derecho a
la intimidad y a la dignidad de la persona del trabajador y la
confidencialidad de toda la información relacionada con su estado
de salud.
3. Los resultados de la vigilancia a que se refiere el
apartado anterior serán comunicados a los trabajadores
afectados.
4. Los datos relativos a la vigilancia de la salud de los
trabajadores no podrán ser usados con fines discriminatorios ni
en perjuicio del trabajador.
El acceso a la información médica de carácter personal se
limitará al personal médico y a las autoridades sanitarias que
lleven a cabo la vigilancia de la salud de los trabajadores, sin que
pueda facilitarse al empresario o a otras personas sin
consentimiento expreso del trabajador.
No obstante lo anterior, el empresario y las personas u
órganos con responsabilidades en materia de prevención serán
Manual de Introducción a la Protección de Datos
Universidad de La Rioja Mayo - Junio 2006 39
informados de las conclusiones que se deriven de los
reconocimientos efectuados en relación con la aptitud del
trabajador para el desempeño del puesto de trabajo o con la
necesidad de introducir o mejorar las medidas de protección y
prevención, a fin de que puedan desarrollar correctamente sus
funciones en materia preventiva.
5. En los supuestos en que la naturaleza de los riesgos
inherentes al trabajo lo haga necesario, el derecho de los
trabajadores a la vigilancia periódica de su estado de salud
deberá ser prolongado más allá de la finalización de la relación
laboral, en los términos que reglamentariamente se determinen.
6. Las medidas de vigilancia y control de la salud de los
trabajadores se llevarán a cabo por personal sanitario con
competencia técnica, formación y capacidad acreditada”.
Este régimen legal específico del tratamiento de la salud
en el ámbito laboral se establece expresamente el carácter
voluntario de las actividades de control periódico de la salud de
los trabajadores (con la única excepción contemplada en el
apartado primero del artículo trascrito), estableciendo también de
forma expresa, la obligación de respeto a la intimidad de los
trabajadores y de la confidencialidad de los datos.
En consecuencia el acceso por parte de los servicios de
prevención de riesgos laborales al historial médico como
consecuencia de los reconocimientos médicos realizados a los
trabajadores deberá limitarse a las previsiones del artículo 24.4
que se citaba. En este sentido, se prohíbe la transmisión de la
información médica obtenida al amparo de lo dispuesto en la Ley
de Prevención de Riesgos Laborales a cualquier tercero distinto
del “personal médico y a las autoridades sanitarias que lleven a
cabo la vigilancia de la salud de los trabajadores”, con la única
excepción de las conclusiones derivadas de dicho seguimiento en
cuanto a la aptitud de los trabajadores (artículo 22.4, párrafo
tercero).
De lo establecido en los preceptos que han venido
transcribiéndose se desprende la existencia de determinados
supuestos en que la realización de actuaciones de vigilancia de la
salud viene derivada directamente de lo establecido en la propia
Ley de Previsión de Riesgos Laborales, de forma que el
Manual de Introducción a la Protección de Datos
Universidad de La Rioja Mayo - Junio 2006 40
sometimiento a dichas acciones resulta obligatorio para el
trabajador, que no puede oponerse a la realización de la acción
de vigilancia.
Al propio tiempo, de lo establecido en el párrafo segundo
del artículo 22.4 de la Ley se deriva el derecho del personal
sanitario que realice las acciones de vigilancia de la salud al
conocimiento de la información médica que se derive de la misma.
En este sentido, dicha información compondrá, según dispone la
propia Ley, el historial clínico laboral del trabajador, debiendo
tenerse en cuenta que, en cuanto historia clínica, la misma se
sometería a lo establecido en la Ley 41/2002, de 14 de
noviembre, que impone la llevanza de la misma a los centros
sanitarios o profesionales que realicen las actuaciones sanitarias
en relación con el paciente, en este caso el trabajador que se
somete a las pruebas que implican la realización de acciones de
vigilancia de la salud.
Además, el empresario está obligado, según dispone el ya
citado artículo 23.1 d) de la Ley 31/1995 a “elaborar y conservar
a disposición de la autoridad laboral” la documentación relativa a
la “Práctica de los controles del estado de salud de los
trabajadores previstos en el artículo 22 de esta Ley y
conclusiones obtenidas de los mismos en los términos recogidos
en el último párrafo del apartado 4 del citado artículo”.
Quiere todo lo que se ha venido indicando decir que el
tratamiento de los datos relacionados con la salud de los
trabajadores no requerirá el consentimiento de los mismos en
aquellos supuestos en que el sometimiento a las actuaciones de
vigilancia de la salud resulte impuesto directamente por la propia
Ley de Prevención de Riesgos Laborales, dado que en ese
supuesto el trabajador deberá someterse a las pruebas y el
servicio de prevención estará obligado legalmente al tratamiento
de los datos resultantes de las mismas, así como en aquellos
casos en que el trabajador acceda voluntariamente a la
realización de las acciones, dada la obligación del servicio de
llevanza de la historia clínico laboral de dichos trabajadores.
Por este motivo, una vez prestado el consentimiento del
trabajador para el sometimiento a las acciones de vigilancia de la
salud, en caso de que las mismas sean voluntarias, en virtud de
Manual de Introducción a la Protección de Datos
Universidad de La Rioja Mayo - Junio 2006 41
lo dispuesto en el párrafo segundo del artículo 22.1 de la Ley
31/1995 o en el supuesto en que el trabajador haya de
someterse obligatoriamente a dichas acciones, no será preciso
exigir un consentimiento adicional del mismo para el tratamiento
de sus datos de salud, ya que dicho tratamiento deriva
directamente de lo establecido en la propia Ley 31/1995 y en la
Ley 41/2002.
Ello no obsta, sin embargo, que deba darse cumplimiento
al deber de información al afectado, previsto en el artículo 5.1 de
la Ley Orgánica 15/1999.
3.2.6 Datos de Comisiones de Infracciones Penales y Administrativas
Los datos de Infracciones Administrativas sólo pueden ser recogidos y
tratados por las Administraciones Públicas competentes en los supuestos previstos
en su normativa, v. gr. la disciplinaria.
La Universidad de La Rioja tiene competencia para sancionar
administrativamente dentro del campus universitario y sancionar al personal a su
servicio, y por lo tanto puede tener en los ficheros de datos información sobre el
personal y posibles sanciones administrativas.
3.3 Ficheros de las Administraciones Públicas
3.3.1 La determinación del concepto Administración Pública
Se ha venido manteniendo en los apartados anteriores que la Universidad de
La Rioja se encuentra enmarcada, a efectos de la LOPD, en lo que ésta denomina
Administraciones Públicas. Sin embargo, hay que matizar algunos aspectos
respecto a cómo debe interpretarse este concepto dentro de la LOPD, en general,
para el resto de las Administraciones Públicas.
Todas las Universidades se rigen por la Ley Orgánica 6/2001, de 21 de
diciembre, de Universidades y por las normas que dicten el Estado y las
Comunidades Autónomas en el ejercicio de sus competencias. Las Universidades
Públicas se rigen, además, por su Ley de creación11 y por sus Estatutos12. Las
Universidades Privadas por las propias normas de organización y funcionamiento.
La jurisprudencia del Tribunal Supremo ha afirmado que las Universidades
Públicas son Entidades de Derecho Público cuyos actos son susceptibles de recurso
11 Ley de creación de la Universidad de La Rioja, Ley 17/1992, de 15 de Junio (BOE nº 147, 19 Junio y nº 158, 14 de Julio). 12 Aprobados por el Consejo de Gobierno de la Comunidad Autónoma de La Rioja, en su sesión del 26 de marzo de 2004
Manual de Introducción a la Protección de Datos
Universidad de La Rioja Mayo - Junio 2006 42
en vía contencioso-administrativa. Los Estatutos de las Universidades Públicas
reconocen esta naturaleza jurídico-pública.
Pero también debe tenerse en cuenta que no cabe postular un único
concepto de Administración Pública a efectos de determinar el ámbito de aplicación
de la normativa sobre protección de datos a los sujetos públicos. En otras palabras,
no puede mantenerse la existencia de un sólo concepto de Administración Pública
en relación con todas las instituciones que regula la LOPD, hasta el punto de que el
concepto Administración Pública —o de fichero de titularidad pública— no va a ser
el mismo en el ámbito de la cesión, del consentimiento o de la publicación y
notificación de la disposición general, que en relación, por ejemplo, al régimen de
responsabilidad civil derivada de los daños que se ocasionen como consecuencia de
tratamientos de datos personales o al régimen de responsabilidad administrativa.
Habrá que diferenciar cuando los datos respondan a las finalidades propias
de la Administración o ente encargado de su tratamiento o que estas sean de tipo
privado, sin relación directa con la finalidad administrativa.
3.3.2 La obligatoriedad de disposición general para la creación del fichero
Según dispone el artículo 20 LOPD, “la creación, modificación o supresión de
los ficheros de las Administraciones Públicas sólo podrán hacerse por medio de
disposición general publicada en el «Boletín Oficial del Estado» o Diario oficial
correspondiente”, disposición en la que habrá de indicarse la finalidad del fichero y
los usos previstos, los sujetos sobre los que pretendan obtener datos, el
procedimiento de recogida, la estructura básica del fichero y la descripción de los
tipos de datos que incluirá, las cesiones de datos que se prevean, los órganos de
las Administraciones responsables del fichero, los servicios o unidades ante los que
se podrá ejercer los derechos inherentes a la titularidad de los datos y, finalmente,
las medidas de seguridad a adoptar.
En primer lugar, debe destacarse la exigencia de que sea una disposición
normativa de carácter general la que autorice la creación, modificación o supresión
del fichero, de manera que no bastaría únicamente con el recurso a un mero acto
administrativo de carácter general. En consecuencia, al margen de los supuestos en
que ésta decisión se adopte por el legislador, sólo aquellos órganos públicos que
tengan atribuida la potestad reglamentaria pueden autorizar cualquiera de las
operaciones referidas en relación con los ficheros de titularidad pública. En
consecuencia, en el ámbito de la Universidad la decisión de crear, modificar y
suprimir ficheros con datos de carácter personal ha de entenderse como una
Manual de Introducción a la Protección de Datos
Universidad de La Rioja Mayo - Junio 2006 43
competencia exclusiva del Excmo. Sr. Rector Magnífico, debiendo dicha
disposición ser publicada en el Boletín Oficial.
Una referencia específica merece la exigencia relativa a la determinación
por parte de la disposición general de cuál ha de ser la finalidad del fichero y los
usos previstos para el mismo, con lo que, en definitiva, se pretende garantizar la
prohibición del artículo 4.2 LOPD acerca del uso de los datos para fines
incompatibles con los que justificaron su recogida en atención a las restricciones y
limitaciones que, desde la perspectiva de los derechos del titular, rigen respecto de
los ficheros públicos.
Se trata por tanto de un elemento esencial ya que permite controlar el uso
ilegítimo de los datos personales así como la cesión de los mismos entre las
Administraciones Públicas más allá del supuesto de la identidad material y
competencial que expresamente requiere el artículo 21 de la LOPD.
3.3.3 Las cesiones de datos entre administraciones
La cesión de datos personales entre Administraciones Públicas se regula,
fundamentalmente, en el artículo 21 LOPD, el cual, a sensu contrario, dispone en su
apartado primero la posibilidad de que se produzca cesión de datos personales
entre Administraciones Públicas sin consentimiento del interesado cuando se trate
del ejercicio de la misma competencia (artículo 21.4), por ejemplo, la cesión de
datos entre universidades públicas para traslado de expedientes o de competencias
distintas que versen sobre la misma materia, como por ejemplo los datos cedidos
periódicamente por una universidad pública a la consejería de educación
correspondiente o cuando el destino de los datos comunicados sea su tratamiento
con fines históricos, estadísticos o científicos.
En el apartado segundo se permite igualmente este tipo de cesión en las
mismas condiciones cuando se trate de datos personales que una Administración
Pública recabe con destino a otra.
Como es sabido, la sentencia del Tribunal Constitucional núm. 292/2000,
de 30 de noviembre, declaró inconstitucional un importante inciso de la Ley que
preveía la posibilidad de estas cesiones ínter-administrativas fuera del primero de
los supuestos cuando así lo hubiera previsto la disposición de creación del fichero o
disposición de superior rango que regule su uso.
El Tribunal Constitucional entendió que la previsión de una norma
reglamentaria no constituía garantía suficiente para el derecho a la protección de
los datos personales. Ahora bien, como el art. 21 LOPD tiene rango de ley
Manual de Introducción a la Protección de Datos
Universidad de La Rioja Mayo - Junio 2006 44
ordinaria13, una norma de este tipo puede excepcionar el régimen de cesión ínter-
administrativa de datos, estableciendo la posibilidad de cesión fuera de los
supuestos aquí relacionados.
Asimismo, la excepción que permite la comunicación ínter-administrativa de
datos personales se aplica al supuesto de que la comunicación tenga por objeto el
tratamiento de datos con fines históricos, estadísticos o científicos (artículo 21.1),
medida en consonancia con la norma de compatibilidad que, respecto a la calidad
de los datos, contiene la propia LOPD, artículo 4.2, dado el específico interés
general implícito en estos fines.
Al margen de este último supuesto conviene precisar los contornos del
supuesto de hecho previsto en la regla general del art. 21 LOPD, a fin de delimitar
la aplicación de la prohibición que contiene. En primer lugar, aunque la nueva
regulación no ha zanjado expresamente la cuestión relativa a si la cesión de datos
personales puede hacerse ad intra en el ámbito de cada Administración pública o,
por el contrario, se refiere únicamente a la comunicación administrativa en el plano
entre Administraciones públicas, parece evidente que el precepto legal permite la
cesión interna siempre que se respete el principio de finalidad que el artículo 4
puntos 1 y 2 de la LOPD garantiza.
Asimismo, el artículo 21.2 de la LOPD contempla otro supuesto de cesión
ínter-administrativa de datos personales sin consentimiento de su titular, para el
caso de que los mismos sean obtenidos o elaborados con la finalidad específica de
remitirlos a otra Administración Pública. En la medida que supone una excepción de
la principal de las facultades reconocidas al ciudadano en la materia, esta
habilitación debe interpretarse en sentido estricto y considerar que únicamente
cabe el trasvase dirigido a la Administración que, en principio, sea destinataria de
los datos, individualización que ha de recogerse específicamente en la disposición
de creación del fichero correspondiente de conformidad con la exigencia prevista en
la LOPD, artículo 20.2.a), de que requiere la constancia de la finalidad del fichero y
los usos previstos.
De conformidad con lo dispuesto en la LOPD, artículo 21.3, la cesión de
datos desde una Administración Pública a una persona privada requerirá
como regla general el consentimiento del afectado, salvo que hayan sido tomados
de fuentes accesibles al público, en cuyo caso también será posible la autorización
legal de la cesión. De esta manera se configura un régimen más estricto para las
13 La Disposición Final segunda de la LOPD (“Preceptos con carácter de Ley ordinaria”) establece que: «Los Títulos IV, VI excepto el último inciso del párrafo 4 del art. 36 y VII de la presente Ley, la disposición adicional cuarta, la disposición transitoria primera y la final primera tienen el carácter de Ley ordinaria.», el mencionado precepto se encuentra en el Título IV, por lo que tiene rango de ley ordinaria.
Manual de Introducción a la Protección de Datos
Universidad de La Rioja Mayo - Junio 2006 45
Administraciones Públicas, por cuanto la comunicación entre personas privadas de
estos mismos datos de carácter público no requiere el consentimiento de sus
titulares, diferencia plenamente justificada por cuanto entre las funciones propias
de las Administraciones Públicas no puede entenderse incluida el comercio con
datos personales.
3.3.4 El acceso por cuenta de terceros al tratamiento de datos de las Administraciones Públicas
El recurso por parte de las distintas Administraciones Públicas a modalidades
de gestión indirecta de muchos servicios públicos hace necesaria la disponibilidad y
utilización de datos personales de los ciudadanos, obrantes en poder de la
Administración contratante titular del servicio, por parte del gestor privado.
En otras ocasiones la relación contractual entre la Administración y el
contratista no consiste en la gestión de un servicio público a los ciudadanos sino en
la realización de un servicio directo a la Administración, lo que determina algunas
variaciones en su disciplina y en su articulación con el tratamiento de los datos
personales.
Como modo de disciplinar éstos y otros supuestos análogos que pueden
producirse igualmente en el ámbito de las relaciones particulares, la LOPD ha
previsto una figura contractual complementaria a través de la cual se pretende huir
del generoso régimen de utilización de los datos que se deriva de una mera cesión,
LOPD artículos 11 y 21.3, institución cuyo empleo por parte de la Administración
Pública queda sometida, por tanto, a la necesaria concurrencia del consentimiento
del interesado salvo que exista una previsión legal en contrario, de modo que, a
través de una serie de garantías, se permita a un sujeto que presta un servicio, ya
sea directa o indirectamente, al responsable del tratamiento (en nuestro caso una
Administración Pública), acceder a los datos personales en poder de éste y
someterlos a ciertas operaciones sin necesidad de que concurra el consentimiento
de los afectados.
Lo primero que cabe decir es que la técnica del acceso por cuenta de
terceros se articula a través de un verdadero contrato (así se desprende de la
LOPD, artículo 12.2), por medio del cual se condicionan por el responsable del
tratamiento los usos a que se someterán los datos personales por parte del que la
LOPD denomina encargado del tratamiento, artículos 3 g y 12.
Puesto que el acceso por cuenta de terceros no está sometido a la necesidad
de consentimiento de los afectados, estos condicionamientos contractuales al uso
de los datos están ineludiblemente vinculados a la prestación de un servicio que sea
Manual de Introducción a la Protección de Datos
Universidad de La Rioja Mayo - Junio 2006 46
instrumental y necesario para la satisfacción o realización de los usos preferentes
para los cuales el responsable recabó originariamente los datos o para cuyo uso fue
autorizado.
Se trata, en definitiva, de proporcionar una garantía legal a los afectados de
que sus datos personales no serán utilizados para ninguna finalidad que no sea la
inicialmente establecida y declarada por el sujeto público responsable del fichero, lo
que justifica precisamente la innecesariedad del consentimiento.
Todo ello diferencia este instrumento de la mera cesión de los datos, que es
una técnica sometida a fuertes garantías previas de verificación, pero en cuya
virtud se adquieren los datos personales sin ninguna limitación previa a su uso,
salvo, lógicamente, las que puedan derivarse de la normativa general sobre
protección de datos, LOPD artículo 11.5.
Una de las principales cuestiones prácticas que plantea el acceso por cuenta
de terceros en el ámbito administrativo se refiere al régimen de responsabilidad
aplicable en materia sancionadora, cuestión de gran trascendencia dado el
diferente sistema sancionador existente para las Administraciones públicas y los
ciudadanos. Dado que las operaciones de tratamiento son desarrolladas
exclusivamente por parte del contratista será éste quien responda por cualquier
incumplimiento contractual y, en general, por cualquier conducta que se encuentre
tipificada en la LOPD como infracción administrativa.
No obstante, a la Administración le serán lógicamente imputables todas
aquellas conductas en que puede incurrir en tanto que responsable del tratamiento:
desatención de solicitudes de ejercicio de los derechos, ausencia de disposición
general publicada de creación del fichero, omisión de los deberes de información…
3.3.5 El derecho a la información y el régimen excepcional para los ficheros de las Administraciones Públicas
Por lo que se refiere al ámbito de los ficheros de titularidad pública merece
una especial consideración la excepción al principio del consentimiento
establecida en la LOPD, artículo 6.2, en virtud de la cual no se precisará dicho
requisito cuando se trate de la recogida de datos personales “para el ejercicio de las
funciones propias de las Administraciones Públicas en el ámbito de sus
competencias” y cuando se refieran “a las partes de [...] una relación
administrativa”.
La posibilidad de recogida de los datos personales sin contar con la
conformidad del afectado debe ser igualmente deslindada de los supuestos que la
Manual de Introducción a la Protección de Datos
Universidad de La Rioja Mayo - Junio 2006 47
propia LOPD establece respecto a la cesión ínter administrativa sin su
consentimiento. En efecto, el artículo 6.2 únicamente reconoce la posibilidad de
recogida sin consentimiento cuando sea la propia Administración destinataria de los
datos quien realice dicha tarea, dado que la obtención o elaboración de los mismos
por una Administración Pública con destino a otra se encuentra sometida a un
régimen peculiar recogido en el artículo 21 LOPD.
La debilidad de la posición jurídica que ocupa el ciudadano frente a la
recogida y tratamiento forzosos de sus datos personales ha de ser matizada, no
obstante, mediante el reforzamiento del derecho de información con el fin de
que, en la medida de lo posible, aquél conozca cuáles obran en poder de la
Administración y cuándo son objeto de cesión, de manera que pueda ejercer con
efectividad el resto de derechos que le asisten y, en especial, los de rectificación y
cancelación. Desde este planteamiento ha de resaltarse la trascendencia del artículo
5 de la LOPD, por cuanto establece que el interesado debe ser informado de los
datos relativos a su persona, no sólo en el caso de recabar personalmente del
mismo los datos sino aún en el de obtenerlos de otras fuentes distintas del propio
afectado.
El derecho de información del interesado en los supuestos de recogida
directa de los datos puede venir, sin embargo, desvirtuado o debilitado ante la
excepción recogida en la LOPD, artículo 5.3, al establecer el precepto que no será
necesaria la información a que se refieren los apartados b), c) y d) del artículo 5.1
en el caso de que se deduzca claramente de su contenido la naturaleza de los datos
personales que se solicitan o de las circunstancias en que se recaben.
El derecho de información del interesado respecto a los datos personales
que no sean solicitados o recabados del mismo también se ve exceptuado en los
supuestos que el artículo 5.5 establece, esto es, aquellos casos en que una ley lo
prevea expresamente, si el tratamiento de los datos tiene fines históricos,
estadísticos o científicos y, asimismo, cuando sea imposible efectuar la información
al interesado.
A estos supuestos reglados de excepción se añade otro de carácter
excepcional: que la Agencia de Protección de Datos considere que el cumplimiento
del deber de informar al interesado que incumbe al responsable exija “esfuerzos
desproporcionados […] en consideración al número de interesados, a la antigüedad
de los datos y a las posibles medidas compensatorias”.
3.4 Deber de Secreto y Confidencialidad
Manual de Introducción a la Protección de Datos
Universidad de La Rioja Mayo - Junio 2006 48
La LOPD, artículo 10 consagra el deber de secreto, que obliga tanto al
Responsable del Fichero como al resto de los intervinientes en cualquier fase del
tratamiento, desde el momento de su recogida hasta el de su destrucción.
Amparando la extensión del mismo por lo tanto no solo al responsable del
fichero, ya que este puede poner todas las medidas para evitar o controlar la salida
de datos o la vulneración del deber de secreto, pero es materialmente imposible
impedir que una persona determinada que trabaja bajo sus órdenes con esos datos
los utilice en vulneración del deber de secreto. Por ejemplo, un funcionario de la
Universidad que dice a un padre las notas de su hijo a través del acceso al
expediente del mismo.
Incluso una vez abandonadas las responsabilidades y labores al servicio del
Responsable del Fichero, persiste este deber de secreto respecto de los datos
conocidos en el desempeño de su labor. Así lo deja claro la Agencia de Protección
de Datos, en su Memoria de 2002:
La vulneración del deber de secreto puede ser constitutiva de
infracción leve en materia de protección de datos. Si la
información revelada se refiriese a datos relativos a la comisión
de infracciones administrativas o penales, Hacienda Pública,
servicios financieros y aquellos ficheros cuyo funcionamiento se
rija por el articulo 29 de la Ley Orgánica 15/1999, la infracción
será de carácter grave y, finalmente, si se revelase información
que contuviera datos de ideología, religión, creencias, origen
racial, salud o vida sexual así como datos recabados para fines
policiales sin consentimiento de las personas afectadas, la
infracción será de carácter muy grave.
4 Derechos de los titulares
4.1 Acceso
4.1.1 Normativa básica
El derecho de acceso a los datos en general, y en particular de la
Administración, viene regulado por la LOPD, artículo 15, y reconoce al interesado el
derecho a acceder gratuitamente a la información relativa a la existencia de
tratamientos de datos personales, sus finalidades y la identidad del responsable del
tratamiento mediante la consulta del Registro General de Protección de Datos. El
Manual de Introducción a la Protección de Datos
Universidad de La Rioja Mayo - Junio 2006 49
desarrollo del ejercicio de este derecho se encuentra regulado en el Real Decreto
1332/1994.
Pero en el ámbito administrativo, como el de la Universidad, nos
encontramos con otro derecho de acceso a los datos e informaciones con un
contenido más amplio y que incluso puede afectar a la intimidad de personas,
titulares, diferentes a la persona que ejerce el derecho de acceso.
Es el supuesto del derecho de acceso a los expedientes
administrativos. El derecho de los ciudadanos a acceder a los archivos y registros
administrativos encuentra su reconocimiento fundamental y primario en la
Constitución de 1978, cuyo artículo 105 dispone que la Ley regulará:
b) El acceso de los ciudadanos a los archivos y registros
administrativos, salvo en lo que afecte a la seguridad y defensa
del Estado, la averiguación de los delitos y la intimidad de las
personas.
Se trata por tanto, al igual que sucede con el artículo 18.4 de la Carta
Magna, de un derecho cuya configuración el constituyente remite en gran parte al
legislador futuro.
En este sentido, el derecho de acceso a los archivos y registros
administrativos ha sido desarrollado en diversas normas. La principal de ellas,
aunque no la primera, es la Ley 30/1992, de 26 de noviembre, de Régimen
Jurídico de las Administraciones Públicas y del Procedimiento
Administrativo Común (LRJPAC) que, por ser la norma configuradora del estatuto
ordinario de los ciudadanos frente a las Administraciones Públicas.
La LRJPAC regula este derecho en su artículo 37, aunque el mismo ya se
encuentra enunciado entre los derechos de los ciudadanos en el artículo 35, letra h)
LRJPAC. Igualmente, el artículo 35, letra a), reconoce el derecho de los interesados
en el procedimiento administrativo en tramitación a acceder al expediente y
obtener copia de los documentos que allí se contengan.
4.1.2 Titulares del Derecho
Aunque en principio el derecho se reconoce a todos los ciudadanos, sin más
requisitos de legitimación, lo cierto es que se trata de una mera apariencia.
Se debe ser titular de datos que obren en poder de la Administración para
poder solicitar el acceso a los mismos. Respecto del acceso al expediente goza de
un régimen diferente, que dependerá de la materia y de la posibilidad, habilitada
Manual de Introducción a la Protección de Datos
Universidad de La Rioja Mayo - Junio 2006 50
legalmente, de que terceros interesados o la existencia de acción popular, soliciten
acceso a los datos de un expediente.
4.1.3 Objeto del derecho
El derecho viene consagrado respecto de los registros y los documentos que
obren en los archivos y que, formando parte de un expediente, correspondan a
procedimientos ya terminados en la fecha de solicitud de acceso, LRJPAC, artículo
37.1.
La limitación del derecho de acceso a los documentos contenidos en
expedientes ya terminados ha sido considerada por algún autor como amputación
de un derecho constitucional protegido por los artículos 105, letra b) y 20 de la
Constitución. No obstante, debe tenerse en cuenta que los principios de
transparencia y participación que se desprenden del artículo 105 Constitución,
presuponen la titularidad por el ciudadano que ejercita el derecho concreto de un
interés legítimo. Así pues, mientras el procedimiento se encuentra en curso, lo que
sí parece razonable es que sólo puedan acceder a los documentos obrantes en el
expediente los sujetos que aparezcan como interesados en el mismo, artículos 31 y
35 letra a), LRJPAC.
4.1.4 Procedimiento para el ejercicio
El Real Decreto 1332/1994, desarrolla los aspectos complementarios para el
ejercicio de los derechos contemplados en la LOPD, contiene las reglas para su
ejercicio efectivo en lo que a los plazos, medios y requisitos formales se requiere.
Respecto del acceso, se ejercerá mediante petición o solicitud dirigida al
responsable del fichero, formulada por cualquier medio que garantice la
identificación del afectado y en la que conste el fichero o ficheros a consultar.
El acceso a la información ha de hacerse posible a través de alguno de los
siguientes medios:
- Visualización en pantalla
- Escrito, copia o fotocopia remitida por correo.
- Telecopia.
- O cualquier otro procedimiento que sea adecuado a la configuración
e implantación del fichero ofrecido por la organización.
El responsable del fichero resolverá entre la petición de acceso en el plazo
máximo de un mes, a contar de la recepción de la solicitud. Transcurrido este plazo
Manual de Introducción a la Protección de Datos
Universidad de La Rioja Mayo - Junio 2006 51
sin que de forma expresa se responda a la petición de acceso, éste podrá
entenderse desestimada a los efectos de la interposición de la reclamación prevista
en el artículo 18 de la LOPD.
Si la resolución fuera estimatoria, el acceso se hará efectivo en el plazo de
los diez días siguientes a la notificación de aquélla.
4.1.5 Límites
Los principales límites que establece el artículo 37 LJRPAC, vienen
relacionados con el derecho a la intimidad personal, así como la privacidad
frente al uso de la informática, cuestión esta última regulada en la LOPD y que
analizaremos seguidamente.
El artículo 37.2 LRJPAC reserva exclusivamente a los afectados el acceso a
los documentos que contengan datos referentes a la intimidad de las personas, las
cuales podrán exigir que sean rectificados o completados, salvo que los mismos
figuren en expedientes caducados por el transcurso del tiempo.
De modo que ni siquiera mediando consentimiento del afectado es posible
acceder a esta documentación.
El derecho de acceso no podrá ser ejercitado a intervalos inferiores a 12
meses, excepto que acredite un interés legítimo para ejercitarlo con anterioridad.
Respecto de la LOPD. Sin embargo, sobre el acceso a los expedientes
administrativo ese plazo no es operativo, surgiendo así un aparente conflicto de
normas.
En el ámbito del ejercicio del derecho de acceso es característica la
presencia de tensiones entre posiciones jurídicas subjetivas, que son objeto de
protección por el ordenamiento jurídico y de las que surgen conflictos que es
necesario solventar a favor de unas u otras. Es precisamente en el marco de la
limitación del derecho de acceso en relación con los documentos que contengan
datos relativos a la intimidad de las personas en el que se pueden dar estos
conflictos. Y el conflicto en este ámbito se plantea desde un doble orden de
consideraciones:
4.1.5.1 Datos relativos a la intimidad
En primer lugar, se plantea la permanente discusión sobre lo que son datos
relativos a la intimidad de las personas, lo cual no deja de suscitar vivo interés
dado que la intimidad se configura como derecho fundamental en los artículos 18.1
y 20.4 de la Constitución. Así, la Sentencia del Tribunal Constitucional núm.
209/1988, de 10 de noviembre, ha afirmado que el derecho a la intimidad implica
Manual de Introducción a la Protección de Datos
Universidad de La Rioja Mayo - Junio 2006 52
“la existencia de un ámbito propio y reservado frente a la acción y el conocimiento
de los demás, necesario, según las pautas de nuestra cultura, para mantener una
calidad mínima de vida humana”.
4.1.5.2 Datos personales que no afectan a la intimidad
Si lo que acabamos de afirmar parece cierto y razonable, ya no lo parece
tanto que el derecho a la intimidad y la reserva, prevalezca siempre sobre el
ejercicio del derecho de acceso como instrumento para la consecución de otros
derechos frente a la actuación de la Administración Pública.
En efecto, en ocasiones, lo que se pretende no es acceder al Registro
Nacional de Títulos para saber, sin más, los méritos académicos de un sujeto, sino
acceder a documentos generados en el seno de un procedimiento administrativo en
los que constan total o parcialmente algunos de esos datos y respecto del cual el
sujeto es interesado, para poder defender sus posiciones jurídicas en dicho
procedimiento. El ejemplo típico se encuentra materializado en las repetidas
denegaciones de acceso en el seno de procedimientos de concurrencia competitiva
en materia de personal.
Por el contrario, el ejercicio del derecho de acceso por parte de interesados
en un procedimiento en curso no se encuentra sometido a los límites del artículo 37
LRJPAC, puesto que se trata de un derecho que no se encuentra recogido en dicho
precepto sino en el artículo 35 LRJPAC, de modo que difícilmente se le pueden
aplicar los referidos límites.
Debe tenerse en cuenta que el artículo 37.3 LRJPAC admite el acceso de
terceros que acrediten un interés legítimo y directo a los documentos nominativos
que no incluyan ningún otro dato relativo a la intimidad de las personas, cuando el
contenido de tales documentos pueda hacerse valer, por dichos terceros, para el
ejercicio de sus derechos.
Este precepto ha sido duramente criticado, dado que la mayor parte de los
documentos administrativos tiene carácter nominativo, con lo que se reduce
drásticamente el ámbito de ejercicio del derecho. Además, se trata del único
supuesto en que la LRJPAC exige la titularidad de un interés “directo” cuando se
trata ésta de una adjetivación del interés desterrada de nuestro ordenamiento tras
la promulgación de la Constitución. No cabe duda de que se trata de una norma
pensada como una barrera al ejercicio de la profesión periodística y al ejercicio del
derecho de acceso por parte de asociaciones que ostenten la representación o
defensa de intereses difusos.
Manual de Introducción a la Protección de Datos
Universidad de La Rioja Mayo - Junio 2006 53
4.1.6 Denegación del derecho
El derecho de acceso podrá ser denegado cuando no concurran en su
ejercicio los requisitos formales o materiales necesarios determinados por la norma.
Por ejemplo, se denegará el derecho de acceso cuando no se haya acreditado la
titularidad de los datos, por ejemplo no identificarse mediante el DNI o documento
equivalente.
Cuando se solicite un acceso a los datos sin en un periodo inferior a 12
meses desde el último acceso y no se especifiquen las causas que motiven la nueva
petición.
En el caso de acceso a datos obrantes en expedientes habrá de estarse a los
supuestos habilitantes del acceso, y verificar que se tiene un interés legítimo o se
reúnen las condiciones subjetivas para la solicitud.
4.1.7 La difusión de datos de las Administraciones Públicas a través de INTERNET
Como resulta conocido, con considerable frecuencia y para el cumplimiento
de sus legítimas funciones, las Administraciones Públicas disponen la difusión
pública, bien a través de exposiciones limitadas a tablones de anuncios o edictales
o bien mediante su inserción en periódicos o diarios oficiales, de gran cantidad de
datos personales de los ciudadanos.
Por ejemplo, las listas de admitidos a cualesquiera procedimientos de
concurrencia competitiva, publicación de calificaciones académicas y un largo
etcétera, cuyas funciones principales suelen concretarse en dos: mejor
conocimiento de la actuación administrativa concreta por parte de los afectados y
expresión del principio de transparencia.
En este sentido, se plantea la polémica posibilidad de que las
Administraciones Públicas puedan, en relación con ciertos procedimientos (en los
que existe una presencia masiva de interesados o en aquellos en los que la
notificación personal resultó infructuosa), sustituir, con idéntica validez jurídica,
la publicación oficial por otra a través de Internet. Se trata de una cuestión
de singular relevancia en el ámbito local puesto que con la utilización de
Internet se podría dar pleno cumplimiento al mandato legal del artículo 69 Ley de
Bases de Régimen Local de facilitar a los ciudadanos la más amplia información
sobre la actividad de la Corporación. Pues bien, en relación con esta cuestión se
suscitan varias dudas.
Manual de Introducción a la Protección de Datos
Universidad de La Rioja Mayo - Junio 2006 54
En primer lugar, un fenómeno similar al apenas enunciado consiste en que
la Administración Pública disponga una publicidad reforzada a través de Internet de
un acto administrativo sujeto a publicación en un boletín oficial. Piénsese en
listados de admitidos y excluidos en un procedimiento de acceso al empleo público.
En principio, nada impide, en nuestra opinión, la difusión electrónica de la
información.
Ahora bien, dado que se trata de una medida que incrementa
considerablemente la posibilidad de acopio y tratamiento de información personal,
esto es, se trataría de una cesión de datos personales en sentido técnico14, la
misma deberá estar habilitada en una norma con rango de Ley ex artículo 11.2 a
LOPD.
En este sentido, podría considerarse que, al menos en relación con los
procedimientos selectivos o de concurrencia competitiva, esta habilitación
legal se encuentra incluida en el artículo 59.6 letra b) LRJPAC, que señala que,
cuando se trate de actos integrantes de un procedimiento selectivo o de
concurrencia competitiva de cualquier tipo: la convocatoria del procedimiento
deberá indicar el tablón de anuncios o medios de comunicación donde se efectuarán
las sucesivas publicaciones, careciendo de validez las que se lleven a cabo en
lugares distintos.
Si, por el contrario, se estima que el mencionado precepto no alcanza a dar
cobertura a las publicaciones electrónicas, la inserción de dichos datos en Internet15
o bien sólo debe ponerse a disposición de los interesados a través de sistemas de
acreditación de la identidad, transformarse en información cualificada, o bien
requerirá inexcusablemente el consentimiento de los afectados, el cual podría
entenderse implícitamente prestado, por ejemplo, con la aceptación de las bases de
la convocatoria.
Asimismo, debe tenerse en cuenta que los datos personales publicados
a través de Internet en estos casos carecen de la consideración de fuentes
de acceso público, puesto que la relación de éstas que hace la LOPD es taxativa.
Así y al contrario de lo que sucede con la información personal aparecida en los
boletines oficiales, el tratamiento de estos datos no es posible sin consentimiento
del interesado, LOPD, artículo 6. No sucede lo mismo en relación con el
consentimiento para la cesión, puesto que sería absurdo: se trata de información
14 LOPD, artículo 3 i) define la cesión como “Toda revelación de datos realizada a una persona distinta del interesado”. 15 Sobre la publicación de Datos Personales en Internet de acuerdo con la Sentencia del Tribunal de Justicia de las Comunidades Europeas, de 6 de noviembre de 2003 (CASO LINDQVIST), la difusión de datos personales en una página web, de modo que dichos datos resulten accesibles a cualquier persona que se conecte a Internet, no constituye una transferencia internacional de datos.
Manual de Introducción a la Protección de Datos
Universidad de La Rioja Mayo - Junio 2006 55
personal presente en Internet. Ahora bien, el problema es el uso que se haga de
esos datos cedidos o presentes en Internet, puesto que la finalidad de su difusión
es, única y exclusivamente, dar publicidad a un procedimiento administrativo y ello
condiciona, obviamente, el uso posterior que se haga de esos datos.
Ciertamente, esta argumentación presenta excepciones. Así, cuando los
actos a publicitar no contengan datos personales (piénsese, por ejemplo, en una
convocatoria del tipo que sea), la exigencia de que sea una norma de rango legal la
que disponga la publicidad electrónica complementaria no rige. En este sentido ha
operado, por ejemplo, la Orden de la Consejería aragonesa de Presidencia y
Relaciones Institucionales de 16 de mayo de 1997, que ha exigido que la
información susceptible de utilización ciudadana sobre concursos públicos y
convocatorias de subvenciones, ayudas, becas y oposiciones, se publique
simultáneamente el mismo día en la versión oficial impresa y en Internet.
En segundo lugar, la sustitución de la publicación en boletines oficiales por
la difusión en Internet, a la que nos hemos referido, plantea otros problemas y
requiere un enfoque diverso. En efecto, cuando la Ley o la norma reguladora del
procedimiento de que se trate dispongan que la publicación de ciertos actos debe
realizarse en un boletín oficial, resulta elemental señalar que se está refiriendo
exclusivamente a la versión impresa del mismo.
Ello de por sí bastaría para desacreditar legalmente la opción de la
Administración Pública que previera una publicación electrónica sustitutiva de la
convencional. Ahora bien, no sólo la Administración Pública no puede, al margen de
las normas reguladoras del procedimiento, disponer una publicación sustitutiva en
Internet, sino que tal posibilidad debe venir habilitada forzosamente por una norma
con rango de Ley. En efecto, la imposición del uso de medios informáticos o
telemáticos en las relaciones entre Administraciones Públicas y ciudadanos es
legítima si viene declarada por una norma con rango de Ley, aunque se trate de
habilitaciones legales genéricas.
Esta misma línea interpretativa parece ser la seguida ya por algunas
Administraciones Públicas. En tal sentido se pronuncia el artículo 7.3 del Decreto
andaluz 183/2003, de 24 de junio, que regula la información y atención al
ciudadano y la tramitación de procedimientos administrativos por medios
electrónicos (Internet), que señala que La difusión de información o documentación
por redes abiertas de telecomunicación no eximirá del deber de publicar en los
diarios oficiales correspondientes los actos jurídicos y disposiciones normativas
cuando así esté legalmente establecido.
Manual de Introducción a la Protección de Datos
Universidad de La Rioja Mayo - Junio 2006 56
No se trata ya tanto, pues, de la exigencia de una norma legal para
proteger los datos personales, sino de la necesidad de la ley para imponer a los
ciudadanos el uso exclusivo de medios electrónicos, informáticos o telemáticos.
Cuestión a resolver es si dicha habilitación puede considerarse contenida en el
artículo 45 LRJPAC con carácter general o, en relación con los procedimientos de
concurrencia competitiva, en el artículo 59.6 letra b) de dicho cuerpo legal; lo que
podría, sin duda, ser sostenido de modo plausible.
4.2 Rectificación
Deben rectificarse o cancelarse los datos los daros de carácter personal cuyo
tratamiento no se ajuste a lo dispuesto en la LOPD, en particular, atendiendo al
principio de exactitud de los datos cuando estos no se correspondan con la realidad
conocida por el titular.
El procedimiento a seguir para la rectificación será similar al indicado para
el acceso, si bien la rectificación no plantea los mismos problemas.
Sin embargo es obligado, en caso de cesiones de datos, para el cedente o el
cesionario o para quien tenga conocimiento de la inexactitud de los datos, el
notificar tal extremo a quien se hayan comunicado los datos.
4.3 Cancelación
El artículo 4.5 de la LOPD, dice que los datos de carácter personal serán
cancelados cuando hayan dejado de ser necesarios o pertinentes para la
finalidad para la cual hubieran sido recabados o registrados, y el artículo 16
hace referencia a que cabrá esta posibilidad cuando los datos sean inexactos o
incompletos.
La Agencia Española de Protección de Datos no dispone de los datos
personales de los ciudadanos, por lo que se deberá dirigir la solicitud de cancelación,
a través de cualquier medio que permita acreditar su envío y recepción,
directamente al Responsable del Fichero que contiene sus datos personales, y
acompañándola de copia del D.N.I. Si no conoce la dirección física del titular o
responsable de los ficheros en cuestión, podrá pedirla en la Agencia Española de
Protección de Datos, o consultarla a través de internet en la página del Registro
General de Protección de Datos.
Una vez cursada la solicitud de cancelación, deberá recibir respuesta
satisfactoria en el plazo de 10 días, LOPD, artículo 16 LOPD, dando lugar al bloqueo
de los datos, conservándose únicamente a disposición de las Administraciones
Manual de Introducción a la Protección de Datos
Universidad de La Rioja Mayo - Junio 2006 57
Públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades
nacidas del tratamiento, durante el plazo de prescripción de éstas. Cumplido el
citado plazo deberá procederse a la supresión. Si esto no es así, entonces cabrá
interponer la denuncia correspondiente ante la Agencia Española de Protección de
Datos, entregando en la Sección de Registro un relato de los hechos, copia de la
solicitud y de la respuesta, y documento identificativo, para que ésta se encargue
de hacer realmente efectivo el derecho de cancelación reclamado por el interesado.
Por Ley, los datos personales no pueden ser conservados en forma que
permita la identificación del interesado durante un período superior al necesario
para los fines en base a los cuales hubieran sido recabados o registrados. Si se
permite conservarlos durante los plazos previstos en las disposiciones aplicables o,
en su caso, en las relaciones contractuales entre la persona o entidad responsable
del tratamiento y el interesado (LOPD, artículo 16).
En cualquier caso, se podrá determinar reglamentariamente el
procedimiento por el que, por excepción, atendidos los valores históricos,
estadísticos o científicos de acuerdo con la legislación específica, se decida el
mantenimiento íntegro de determinados datos y habrá que tenerlo en cuenta a la
hora de decidir interponer una denuncia.
Sólo podrá denegarse el ejercicio de este derecho en los siguientes casos:
- En ficheros de Fuerzas y Cuerpos de Seguridad en función de los
peligros que pudieran derivarse para la defensa del Estado o la
seguridad pública, la protección de los derechos y libertades de
terceros o las necesidades de las investigaciones que se estén
realizando.
- En ficheros de la Hacienda Pública cuando obstaculice las
actuaciones administrativas tendentes a asegurar el cumplimiento
de las obligaciones tributarias y, en todo caso, cuando esté siendo
objeto de actuaciones inspectoras.
4.4 Oposición
Cuando el titular de los datos tuviera constancia de que sus datos personales
tratados en un fichero son inexactos o incompletos, podrá solicitar del responsable
del fichero la rectificación de los mismos.
Este derecho se ejercita ante el responsable del fichero por el titular de los
datos o afectado, es un derecho personalísimo que no puede ejercitarse por
persona distinta de su titular, a excepción de menores e incapacitados.
Manual de Introducción a la Protección de Datos
Universidad de La Rioja Mayo - Junio 2006 58
El derecho de rectificación se ejerce mediante solicitud dirigida al
responsable del fichero o tratamiento por cualquier medio que garantice la
identificación del afectado. El responsable deberá atender a la petición, previa
comprobación de los documentos justificativos de la misma presentados por el
interesado, en el plazo de diez días.
Sólo podrá denegarse el ejercicio de este derecho en los siguientes
casos:
- En ficheros de Fuerzas y Cuerpos de Seguridad en función de
los peligros que pudieran derivarse para la defensa del Estado o la
seguridad pública, la protección de los derechos y libertades de
terceros o las necesidades de las investigaciones que se estén
realizando.
- En ficheros de la Hacienda Pública cuando obstaculice las
actuaciones administrativas tendentes a asegurar el cumplimiento
de las obligaciones tributarias y, en todo caso, cuando esté siendo
objeto de actuaciones inspectoras.
También el responsable podrá modificar por propia iniciativa los datos que
resulten inexactos o incompletos
4.5 Indemnización
Existe el derecho a que el titular de los datos sea indemnizado por los
perjuicios causados por un tratamiento de datos efectuado sin respeto o atención a
lo dispuesto en la LOPD y la normativa de desarrollo.
Por ejemplo, en el caso de un a inscripción en un fichero de morosos que
supone la denegación de un préstamo cuando la deuda no existía realmente.
Pero respecto de la responsabilidad en las indemnizaciones de las
Administraciones Públicas, hacemos remisión al apartado 6.2 de este manual donde
se aborda el tema de la responsabilidad patrimonial de la administración.
4.6 Impugnación de valoraciones
Este derecho permite al interesado impugnar aquellas decisiones que tengan
efectos jurídicos y cuya base sea únicamente un tratamiento de datos de carácter
personal que ofrezca una definición de sus características o personalidad.
Manual de Introducción a la Protección de Datos
Universidad de La Rioja Mayo - Junio 2006 59
El interesado podrá impugnar actos jurídicos o decisiones privadas que
impliquen una valoración de su comportamiento basado únicamente en un
tratamiento de datos personales que ofrezca una definición de su personalidad.
Para el ejercicio de este derecho el afectado podrá solicitar información del
responsable del fichero sobre:
- criterios de valoración utilizados, y
- programa utilizado en el tratamiento.
La valoración sobre el comportamiento de los ciudadanos, basada en un
tratamiento de datos, únicamente podrá tener valor probatorio a petición del
afectado.
4.7 Limitaciones de los derechos de los titulares en relación a los ficheros
públicos
Una de las principales singularidades que incluye el régimen jurídico
específico de los ficheros de titularidad pública es la limitación a la que se
encuentra sometido el titular de los datos personales en ellos incluidos respecto del
ejercicio de los derechos de acceso, rectificación y cancelación. En efecto, el artículo
23 LOPD faculta al responsable del fichero para excepcionar los citados derechos en
función de “los peligros que puedan derivarse para la defensa del Estado o la
seguridad pública, la protección de los derechos y libertades de terceros o a las
necesidades de la investigación que se estén realizando” en los supuestos de
ficheros pertenecientes a las Fuerzas y Cuerpos de Seguridad del Estado,
habilitación que se reproduce a favor de la Hacienda Pública cuando con el ejercicio
de los derechos analizados “obstaculice las actuaciones administrativas tendentes a
asegurar el cumplimiento de las obligaciones tributarias y, en todo caso, cuando el
afectado esté siendo objeto de actuaciones inspectoras”.
Ahora bien, aunque no se haya previsto la obligación de motivar la decisión
que se adopte, esta exigencia debe entenderse aplicable a los supuestos recogidos
en el artículo 23 LOPD por cuanto se trata de actos discrecionales que, de
conformidad con las reglas generales consagradas en el artículo 54 de la LRJPAC,
requieren la justificación de la decisión administrativa. En todo caso, el titular de los
datos afectados por la decisión administrativa limitadora de sus derechos siempre
puede acudir a los mecanismos generales que le ofrece el ordenamiento jurídico
para aquellos supuestos en que se haya incumplido el régimen jurídico aplicable.
5 Las Medidas de Seguridad.
Manual de Introducción a la Protección de Datos
Universidad de La Rioja Mayo - Junio 2006 60
5.1 Introducción
El Real Decreto 994/1999, RMS, recoge las medidas de seguridad a aplicar
sobre los ficheros y las instalaciones que acogen los medios técnicos adecuados
para su tratamiento.
Las mediadas de seguridad se dividen en tres grupos de acuerdo a la
naturaleza de los datos que deban “proteger”.
Así para los datos de nivel básico, aquellos que no gozan de especial
protección según la LOPD, deberán aplicarse las medidas de nivel básico que el
RMS dispone.
Para los datos, que gozando de especial protección, hacen referencia a la
comisión de infracciones y sanciones penales y administrativas, se disponen las
mediadas de nivel medio. Además, cuando los datos de nivel básico recabados,
por su cantidad y calidad sean suficientes para la elaboración de perfiles de la
persona o permitan evaluar su personalidad, deberán someterse varias de las
medidas previstas en el aparatado de las de nivel medio. Puede decirse que tiene
un régimen intermedio.
En el nivel medio, también se incluyen los datos de las empresas de
servicios financieros, y los ficheros de solvencia patrimonial y crédito, los
denominados registros de morosos.
Además en este nivel medio, se encentran los ficheros de Hacienda Pública,
que la Agencia Española de Protección de Datos ha considerado16, en su Memoria
de 1999, referidos exclusivamente a los ficheros públicos, bien sean de la Agencia
Tributaria o de los entes autonómicos o locales que gestionen tributos.
El nivel alto de medidas de seguridad se aplicará a los ficheros que
contengan datos de ideología, religión, creencias, origen racial, salud, o vida sexual,
así como los que contengan datos recabados para fines policiales obtenidos sin
consentimiento del titular.
16 A este respecto, la Agencia Española de Protección de Datos ha considerado que la expresión anteriormente citada se refiere exclusivamente a los ficheros cuya titularidad corresponda a la Hacienda Pública, debiendo entenderse esta expresión como aplicable a aquellos ficheros cuyo responsable sea una Administración Pública que ostente potestades en materia tributaria; esto es aquellos ficheros cuyo responsable sea la Agencia Estatal de Administración Tributaria, los que correspondan a las Comunidades Autónomas en materia de Tributos que les hayan sido cedidos o aquellos padrones fiscales, correspondientes a los tributos locales, de los que son responsables las Haciendas Locales, como por ejemplo los regulados en los artículos 60 (IBI), 78.1 (IAE) y 92.1 (I. de Vehículos ...) del Real Decreto Legislativo 2/2004, de 5 de marzo, por el que se aprueba el texto refundido de la Ley Reguladora de las mismas y cualesquiera de las Administraciones Públicas que tengan por objeto la exacción de algún recurso de naturaleza tributaria.
En consecuencia, la expresión contenida en el articulo 4.2 resultará aplicable exclusivamente a estos ficheros, de titularidad pública y nunca a ficheros de titularidad privada, aunque de los mismos pudiera derivarse la existencia de datos con trascendencia tributaria.
Manual de Introducción a la Protección de Datos
Universidad de La Rioja Mayo - Junio 2006 61
Los tres niveles son acumulativos, es decir las medidas de nivel medio
incluyen necesariamente todas las medidas de nivel bajo, y las de nivel alto las de
nivel medio y nivel bajo.
Además cada uno de los niveles se considera mínimo exigible siendo
posible aumentar el nivel de protección o someter a los ficheros a unas medidas
correspondientes a niveles superiores de manera voluntaria por el Responsable del
Fichero.
Todas estas medidas técnicas deberán reflejarse en un documento,
denominado Documento de Seguridad que servirá como “Manual de
Instrucciones” de la protección de datos.
5.2 El Documento de Seguridad: contenidos
Constituye una de las exigencias de las medidas de seguridad de nivel básico
del RMS. Por lo tanto su exigencia es inexcusable en todos los niveles de la
protección.
En particular la Universidad deberá elaborar un documento de seguridad
de obligado cumplimiento para todo el personal que tenga acceso a datos
personales y a las aplicaciones informáticas y sistemas de información
correspondientes, y que debe incluir, como mínimo:
- Ámbito de la aplicación.
- Medidas, normas, procedimientos, reglas y estándares
encaminados a garantizar el nivel de seguridad.
- Funciones y obligaciones del personal.
- Estructura de los ficheros con datos de carácter personal,
incluyendo una descripción del sistema de información.
- Procedimiento de notificación de incidencias.
- Procedimiento de realización de copias de respaldo.
Este contenido mínimo deberá ampliarse para recoger las medidas
establecidas para el nivel concreto de seguridad en el que esté clasificado cada uno
de los ficheros.
En el caso de ser de aplicación a ficheros con un nivel de protección superior,
estas menciones deberán ampliarse con las siguientes.
Para los ficheros con nivel de protección medio, el documento de
seguridad debe contener:
Manual de Introducción a la Protección de Datos
Universidad de La Rioja Mayo - Junio 2006 62
- La identificación del Responsable de Seguridad
- Los controles periódicos a realizar para comprobar el cumplimiento
de lo dispuesto en el propio documento.
- Las medidas a adoptar cuando un soporte vaya a ser rechazado.
No se prevén especiales referencias en el propio documento cuando el nivel
de protección sea alto.
Por regla general, el Documento de Seguridad suele ampliarse a todos
aspectos que tienen que ver con la protección de datos en la empresa,
configurándose, como ya se ha dicho, como un manual de la protección de datos.
El documento de seguridad es un documento “vivo”, que en todo momento
debe mantenerse actualizado incorporando todos los cambios producidos en el
entorno de tratamiento de los datos, así como a la legislación vigente.
5.3 Funciones y Obligaciones del Personal
Las funciones y obligaciones del personal respecto de los datos de carácter
personal se refieren a aquellas normas que son de obligado cumplimiento para
el personal que trata los datos bajo la autoridad del Responsable del Fichero.
Esta información debe formar parte del documento de seguridad con
independencia del nivel de protección asignado al fichero. Su contenido suele ser:
- Funciones y obligaciones de grupos de usuarios y/o perfiles
- Conocimiento por parte del personal de las normas y medidas de
seguridad que les son aplicables
- Identificación y funciones del/los Responsables de Seguridad
- Trabajo fuera de ubicación principal debe ser expresamente
autorizado
- Listado de personal con acceso a Servidores y/o CPD
- Listado de personal con privilegios administrativos informáticos
sobre aplicaciones y ficheros
- Obligaciones respecto a los protocolos de notificación de incidencias
- Información respecto de los protocolos de acceso
5.4 Otros contenidos
Otros contenidos importantes del documento de seguridad son:
Manual de Introducción a la Protección de Datos
Universidad de La Rioja Mayo - Junio 2006 63
Identificación y Autenticación:
- Existencia de una lista actualizada de usuarios autorizados que
tengan acceso autorizado al sistema de información.
- Procedimientos de identificación y autenticación informáticos:
• Contraseñas: procedimiento de creación, asignación, conservación
y cambio periódico
• Identificación de usuario, de manera inequívoca y personalizada
• Limitación de acceso incorrecto reiterado
Control de Acceso:
- Los usuarios tendrán únicamente acceso a los datos/recursos de
acuerdo a su puesto laboral y tareas definidas en el documento
- Deberán implantarse mecanismos que eviten el acceso no
autorizado a otros recursos: establecimiento de perfiles de usuario.
- Control de acceso físico a servidores y CPD (centros de
procesamiento de datos)
- De cada acceso se guardarán: identificación usuario, fecha y hora,
fichero accedido, tipo de acceso y su autorización o denegación,
guardando la información que permita identificar registro accedido
- Los mecanismos de acceso estarán bajo el control directo del
Responsable de Seguridad, sin que pueda permitirse la
desactivación.
- Registro y conservación de accesos lógicos al fichero por un plazo
no inferior a 2 años.
- Para accesos a través de redes de telecomunicaciones, deberán
tener las mismas medidas que para accesos en modo local.
Estructura de los Ficheros y del Sistema Informático:
- Descripción y estructura informática del Fichero (campos ID)
- Descripción y estructura del Sistema Informático (enumeración de
equipos, redes, programas, etc...)
Gestión de Soportes:
- Identificación, inventariado y almacenamiento
Manual de Introducción a la Protección de Datos
Universidad de La Rioja Mayo - Junio 2006 64
- Autorización necesaria para salida de soportes
- Cifrado de soportes en caso de operaciones externas de
mantenimiento
- Medidas y procedimientos para la destrucción de soportes
- Registro de Entrada de Soportes
- Registro de Salida de Soportes
- Distribución de soportes con mecanismos de cifrado de datos
Ficheros Temporales:
- Aplicación de mismo nivel de seguridad que fichero origen
Registro de Incidencias:
- Contenido mínimo: tipo de incidencia, momento en que se produce,
efectos producidos, persona que comunica, medidas adoptadas
- Contenido adicional: Procedimiento de restauración de datos, datos
restaurados y datos grabados manualmente
Procedimientos de Copias de Respaldo y Recuperación datos:
- Deberán garantizar la restauración de los datos al momento
anterior a producirse la pérdida
- Realización de copias de backup al menos con una frecuencia
semanal
- Necesaria autorización para la ejecución de procedimientos de
restauración de datos
- Almacenamiento externo de copias y procedimientos de
restauración de datos
Pruebas con datos reales:
- Aplicación de mismas medidas según nivel de seguridad de los
datos
Actualización y Auditoria:
- Revisión y actualización del Documento de Seguridad en función de
cambios relevantes en la Organización
- Auditoria cada 2 años. Conservación de Informe a disposición
Agencia Española de Protección de Datos
Manual de Introducción a la Protección de Datos
Universidad de La Rioja Mayo - Junio 2006 65
- Revisión periódica de la información de control de los accesos
informáticos a ficheros y aplicaciones
5.5 El caso de las medias de seguridad en ficheros en soporte papel
En relación a los ficheros no automatizados (manuales estructurados), no
existe en este momento ningún desarrollo reglamentario relativo a las condiciones
que deben cumplirse con respecto a su integridad y seguridad y a las de los centros
de tratamientos, locales, etc., si bien ello no debe interpretarse como que no
haya que tomar medidas de seguridad.
¿Qué medidas habrá que adoptar?: las técnicas y organizativas que
garanticen la seguridad de los datos, habida cuenta del estado de la tecnología, la
naturaleza de los datos almacenados y los riesgos a que estén expuestos.
Existen muchas medidas que pueden adoptarse para el tratamiento de
datos de forma manual, como por ejemplo:
- recoger el expediente personal de un interesado que se esté
utilizando en la actividad laboral o profesional cuando vaya a
ausentarse del puesto de trabajo. Simplemente guardarlo en un
cajón ya es una medida que aumenta la seguridad del tratamiento.
- romper cualquier papel que contenga datos de una persona y que
se vaya a tirar a la papelera.
- establecer un procedimiento para la retirada de los papeles
desechados, garantizando la confidencialidad de los datos hasta su
destrucción, etc.
- disponer de zonas de archivo de acceso controlado y/o vigilado.
En general, se interpreta que es necesario adecuar las medidas previstas
para los ficheros automatizados en aquellas que sean posibles a los ficheros de
datos en soporte papel. En estos soportes juega un papel esencial el sentido común
a la hora de implementar las medidas que permitan equiparar el nivel de protección
de la información contenida en ellos.
6 Infracciones y Sanciones.
6.1 Las infracciones en la LOPD
Las infracciones en materia de protección de datos se encuentran recogidas
en la propia LOPD, artículo 44. Se lista un catálogo de infracciones que comprenden
todas las posibles conductas sancionables.
Manual de Introducción a la Protección de Datos
Universidad de La Rioja Mayo - Junio 2006 66
Son infracciones leves:
- No atender, por motivos formales, la solicitud del interesado de
rectificación o cancelación de los datos personales objeto de
tratamiento cuando legalmente proceda.
- No proporcionar la información que solicite la Agencia de Protección
de Datos en el ejercicio de las competencias que tiene legalmente
atribuidas, en relación con aspectos no sustantivos de la protección
de datos.
- No solicitar la inscripción del fichero de datos de carácter personal
en el Registro General de Protección de Datos, cuando no sea
constitutivo de infracción grave.
- Proceder a la recogida de datos de carácter personal de los propios
afectados sin proporcionarles la información que señala el artículo 5
LOPD.
- Incumplir el deber de secreto establecido en el artículo 10 LOPD,
salvo que constituya infracción grave.
Son infracciones graves:
- Proceder a la creación de ficheros de titularidad pública o iniciar la
recogida de datos de carácter personal para los mismos, sin
autorización de disposición general, publicada en el «Boletín Oficial
del Estado» o Diario oficial correspondiente.
- Proceder a la creación de ficheros de titularidad privada o iniciar la
recogida de datos de carácter personal para los mismos con
finalidades distintas de las que constituyen el objeto legítimo de la
empresa o entidad.
- Proceder a la recogida de datos de carácter personal sin recabar el
consentimiento expreso de las personas afectadas, en los casos en
que éste sea exigible.
- Tratar los datos de carácter personal o usarlos posteriormente con
conculcación de los principios y garantías establecidos en la
presente Ley o con incumplimiento de los preceptos de protección
que impongan las disposiciones reglamentarias de desarrollo,
cuando no constituya infracción muy grave.
Manual de Introducción a la Protección de Datos
Universidad de La Rioja Mayo - Junio 2006 67
- El impedimento o la obstaculización del ejercicio de los derechos de
acceso y oposición y la negativa a facilitar la información que sea
solicitada.
- Mantener datos de carácter personal inexactos o no efectuar las
rectificaciones o cancelaciones de los mismos que legalmente
procedan cuando resulten afectados los derechos de las personas
que la presente Ley ampara.
- La vulneración del deber de guardar secreto sobre los datos de
carácter personal incorporados a ficheros que contengan datos
relativos a la comisión de infracciones administrativas o penales,
Hacienda Pública, servicios financieros, prestación de servicios de
solvencia patrimonial y crédito, así como aquellos otros ficheros
que contengan un conjunto de datos de carácter personal
suficientes para obtener una evaluación de la personalidad del
individuo.
- Mantener los ficheros, locales, programas o equipos que contengan
datos de carácter personal sin las debidas condiciones de seguridad
que por vía reglamentaria se determinen.
- No remitir a la Agencia de Protección de Datos las notificaciones
previstas en esta Ley o en sus disposiciones de desarrollo, así como
no proporcionar en plazo a la misma cuantos documentos e
informaciones deba recibir o sean requeridos por aquél a tales
efectos.
- La obstrucción al ejercicio de la función inspectora.
- No inscribir el fichero de datos de carácter personal en el Registro
General de Protección Datos, cuando haya sido requerido para ello
por el Director de la Agencia de Protección de Datos.
- Incumplir el deber de información que se establece en los artículos
5, 28 y 29 LOPD, cuando los datos hayan sido recabados de
persona distinta del afectado.
Son infracciones muy graves:
- La recogida de datos en forma engañosa y fraudulenta.
- La comunicación o cesión de los datos de carácter personal, fuera
de los casos en que estén permitidas.
Manual de Introducción a la Protección de Datos
Universidad de La Rioja Mayo - Junio 2006 68
- Recabar y tratar los datos de carácter personal a los que se refiere
el artículo 7.2 cuando no medie el consentimiento expreso del
afectado; recabar y tratar los datos referidos en el artículo 7.3
cuando no lo disponga una ley o el afectado no haya consentido
expresamente, o violentar la prohibición contenida en el artículo
7.4.
- No cesar en el uso ilegítimo de los tratamientos de datos de
carácter personal cuando sea requerido para ello por el Director de
la Agencia de Protección de Datos o por las personas titulares del
derecho de acceso.
- La transferencia temporal o definitiva de datos de carácter personal
que hayan sido objeto de tratamiento o hayan sido recogidos para
someterlos a dicho tratamiento, con destino a países que no
proporcionen un nivel de protección equiparable sin autorización
del Director de la Agencia de Protección de Datos.
- Tratar los datos de carácter personal de forma ilegítima o con
menosprecio de los principios y garantías que les sean de aplicación,
cuando con ello se impida o se atente contra el ejercicio de los
derechos fundamentales.
- La vulneración del deber de guardar secreto sobre los datos de
carácter personal a que hacen referencia el artículo 7, apartados 2
y 3, así como los que hayan sido recabados para fines policiales sin
consentimiento de las personas afectadas.
- No atender, u obstaculizar de forma sistemática el ejercicio de los
derechos de acceso, rectificación, cancelación u oposición.
- No atender de forma sistemática el deber legal de notificación de la
inclusión de datos de carácter personal en un fichero.
6.2 El régimen especial de la responsabilidad de las Administraciones
Una cuestión que suscita inevitables reflexiones es la relativa a las
concretas medidas que en ejercicio de la potestad sancionadora sobre ficheros
públicos pueden adoptar las diferentes autoridades de control, Agencias de
Protección de Datos. En este sentido las dispuestas por el artículo 46 LOPD deben
ser juzgadas, cuanto menos, excesivamente genéricas y probablemente
violentadoras de un razonable entendimiento del principio de tipicidad de las
infracciones y sanciones.
Manual de Introducción a la Protección de Datos
Universidad de La Rioja Mayo - Junio 2006 69
La LOPD establece que el Director de la Agencia Española de Protección de
Datos dictará resolución estableciendo las medidas correctoras o de cesación de la
conducta infractora. No existe sanción económica como las que se disponen para
los ficheros de naturaleza privada.
Por lo que se refiere a lo dispuesto en el artículo 46.2 LOPD, debe
determinarse de modo más o menos definido cuál es el alcance que tiene la
“propuesta” que el Director de la Agencia Española de Protección de Datos puede
avanzar a la autoridad administrativa correspondiente en orden a la iniciación de
actuaciones disciplinarias frente al funcionario responsable. En este sentido, parece
que este precepto debe reconducirse a lo dispuesto con carácter general en el Real
Decreto 33/1986, de 10 de enero, por el que se aprobó el Reglamento de
régimen disciplinario de los funcionarios de la Administración del Estado,
artículo 27, que dispone que el procedimiento se iniciará siempre de oficio, por
acuerdo del órgano competente, bien por propia iniciativa o como consecuencia de
orden superior, moción razonada de los subordinados o denuncia.
Pues bien, ante esta situación parece que no queda más remedio que
reconducir la posición del Director de la autoridad de control a la de un denunciante,
con un considerable grado de cualificación, si se quiere. Ello supondría inicialmente
el reconocimiento de un estatus procedimental limitado en relación con la iniciación
y tramitación (o la ausencia de ambas) de los procedimientos disciplinarios cuya
apertura pueda instar la autoridad de control contra los funcionarios responsables,
tal y como viene siendo tradicional en nuestro Derecho administrativo sancionador
y disciplinario. No obstante, debe decirse que la potencialidad de la intervención de
la autoridad de control en este punto puede entenderse ampliada en relación con
esta clásica concepción por varios motivos.
En primer lugar, es creciente la consideración de que aun el mero
denunciante tiene un poder de estimulación que fuerza a la Administración
destinataria de la denuncia al despliegue de una actividad tendente a la
acreditación, siquiera embrionaria, de la veracidad de los hechos denunciados y que
permita decidir con fundamento suficiente la iniciación del correspondiente
procedimiento disciplinario. Asimismo y al margen de este “interés procedimental”
que ostenta el mero denunciante, se han reconocido por el autor citado otras
facultades ciertamente importantes, como el derecho a recibir comunicación del
resultado de su denuncia y, lo que es más importante aún, el reconocimiento de
una facultad de impugnación jurisdiccional de la eventual resolución de la autoridad
administrativa que decida la no incoación del procedimiento o el archivo de las
actuaciones.
Manual de Introducción a la Protección de Datos
Universidad de La Rioja Mayo - Junio 2006 70
En otro orden de consideraciones, una cuestión distinta es la relativa a la
responsabilidad administrativa en que pueda incurrir el personal laboral al servicio
de la Administración Pública como consecuencia del incumplimiento de la normativa
sobre protección de datos. Como puede observarse, esta eventualidad no está
expresamente prevista en el artículo 46 LOPD, que presupone la exclusividad o el
monopolio del estamento funcionarial en la implicación en tareas relacionadas con
la protección de datos personales o con el manejo en general de información
personal de los ciudadanos en las Administraciones Públicas. Como modo de
otorgar un tratamiento igualitario a ambos tipos de empleados públicos, no cabe
concluir sino que el personal que presta sus servicios en la Administración Pública
con sometimiento al Derecho del Trabajo pueda ser sancionado disciplinariamente a
instancias del Director de la Agencia Española de Protección de Datos o del ente de
control autonómico de conformidad con la normativa laboral aplicable. Por el
contrario, el sistema de responsabilidad administrativa dispuesto en relación con los
sujetos públicos presenta una carencia absoluta de efectividad represora cuando la
imputación subjetiva de la infracción recae en personal político de las
Administraciones Públicas, pues en tales casos no existe posibilidad alguna de
sanción disciplinaria.
Finalmente, procede abordar la cuestión relativa a la naturaleza y efectos
de las resoluciones sancionadoras evacuadas por las autoridades de control en
relación con las Administraciones Públicas. En este sentido y al contrario de lo que
señalamos en punto a las resoluciones dictadas por las autoridades de control en
los procedimientos de tutela de los derechos de protección de datos frente a las
Administraciones Públicas las resoluciones sancionadoras dictadas frente a
Administraciones Públicas sí tienen plenamente ese carácter.
La explicación de esta distinta naturaleza es evidente. En última instancia,
se produce una contradicción entre declaraciones de voluntad que tienen idéntico
objeto: la decisión de la Administración por la que no se accede al ejercicio del
derecho o se accede bajo determinadas condiciones y la resolución de la autoridad
de control que dispone en sentido opuesto o contrario. Es decir, en estos casos no
cabe que la decisión de la autoridad de control pueda considerarse ejecutiva si no
existe un instrumento por el que la declaración de voluntad administrativa objeto
de la reclamación pueda decaer o, en otras palabras, por el que la autoridad de
control esté habilitada para privarla de eficacia. Desde luego, este mecanismo no
está previsto en la LOPD, aunque tal vez fuera conveniente replantearse el alcance
de las potestades de las autoridades de control en esta materia.
Manual de Introducción a la Protección de Datos
Universidad de La Rioja Mayo - Junio 2006 71
Por el contrario, en los supuestos de resoluciones sancionadoras la
intervención de un acto administrativo previo por parte del ente público
“sancionado” no presenta relevancia alguna. La resolución sancionadora no es,
como se comprenderá, una declaración de voluntad de la autoridad de control
destinada a prevalecer sobre otra previa proveniente de una Administración Pública
con el mismo objeto, sino que se trata de una resolución a través de la cual se
ejercita una potestad meramente represora y para el ejercicio eficaz de la misma
resulta sencillamente indiferente que la conducta infractora, formal o material que
sea, siga o no en pie. Si el comportamiento material ilícito persiste o se vuelven a
dictar actos administrativos igualmente ilícitos con posterioridad, ello determinará,
eventualmente, la instrucción y resolución de sucesivos procedimientos
sancionadores; pero, en definitiva, en nada afecta a la ejecutividad y ejecutoriedad
de la resolución sancionadora dictada por la autoridad de control el que el acto
administrativo ilegal persista.
6.3 La responsabilidad patrimonial derivada de la actuación de la
Administración Pública
Que la masiva utilización y acopio de datos personales de los ciudadanos,
llevada a cabo por las diferentes Administraciones Públicas, constituye un riesgo
potencial para los derechos individuales es una constatación evidente. Pero,
además, como consecuencia del tratamiento y, en general, de la utilización que los
sujetos públicos lleven a cabo de los datos personales puede ocasionarse un daño y,
con ello, el afloramiento de una institución clave en nuestro ordenamiento: la
responsabilidad patrimonial de las Administraciones Públicas. De este modo, se
trata de un principio integrante del derecho a la protección de los datos personales
y, como tal y ante la evidencia de que la tutela preventiva es insuficiente en esta
materia, se enuncia en el artículo 19 LOPD, aunque con términos no exentos de
polémica por cuanto se refiere a la Administración Pública, tal y como veremos. Con
una terminología igualmente equívoca, el artículo 19.2 LOPD pretende concretar tal
principio en relación con las Administraciones Públicas, al señalar que Cuando se
trate de ficheros de titularidad pública, la responsabilidad se exigirá de acuerdo con
la legislación reguladora del régimen de responsabilidad de las Administraciones
públicas.
Cualquier operador jurídico podrá advertir que entre los apartados primero
y segundo del artículo 19 LOPD existe una notoria contradicción. Mientras que el
artículo 19.1 LOPD condiciona con carácter general el nacimiento de la obligación
resarcitoria al hecho de que se haya producido una infracción del ordenamiento
jurídico, el apartado segundo de dicho precepto precisa que, cuando los daños
Manual de Introducción a la Protección de Datos
Universidad de La Rioja Mayo - Junio 2006 72
tengan su origen en ficheros de titularidad pública, el régimen jurídico aplicable
será el dispuesto por las normas que regulan la responsabilidad patrimonial de las
Administraciones Públicas.
La contradicción es, al menos en apariencia, evidente. El artículo 19.1
consagra una responsabilidad objetiva relativa o, de otro modo, condicionada al
hecho del incumplimiento. Sin embargo, el apartado segundo remite en sede de
responsabilidad patrimonial de las Administraciones Públicas a las normas que la
regulan y en las que, por tanto, se establecen su naturaleza y presupuestos. Pues
bien, como es sobradamente conocido, entre las características esenciales de este
régimen se encuentra la naturaleza plenamente objetiva de la responsabilidad
patrimonial, cuyo nacimiento no está condicionado en absoluto a la ilegalidad de la
actuación o conducta administrativas. Desde nuestro punto de vista, el modo más
satisfactorio de solventar esta —insistimos, aparente— contradicción consiste en
considerar que el régimen de responsabilidad consagrado por el apartado primero
del artículo 19 LOPD resulta aplicable únicamente a los daños ocasionados por los
particulares, pero no a los originados en conductas imputables a las
Administraciones Públicas, las cuales se regirán en este punto, en consecuencia,
por los artículos 139 y s. LRJPC.
7 La Agencia Española de Protección de Datos.
Las Agencias de Protección de Datos se constituyen en este punto en el
garante de la aplicación de lo dispuesto en la LOPD o Ley Autonómica
correspondiente, respecto del ámbito de aplicación determinado por la misma.
Tanto la Agencia Española de Protección de Datos como las autonómicas,
cada una en su ámbito competencial (en el caso de las segundas, se circunscribe a
los ficheros de datos de carácter personal creados o gestionados por las
Administraciones Públicas de su ámbito territorial, mientras que todos los
tratamientos de datos realizados por entidades privadas son siempre
responsabilidad de la primera), tienen como función el control de la aplicación de la
Legislación sobre protección de datos y la defensa de los derechos de los
ciudadanos para el efectivo cumplimiento del derecho fundamental a la protección
de datos personales.
Entre las funciones de las Agencia de Protección de Datos es de destacar la
atención de peticiones y reclamaciones de los ciudadanos, la información sobre sus
derechos, y el ejercicio de la potestad inspectora y sancionadora.
Manual de Introducción a la Protección de Datos
Universidad de La Rioja Mayo - Junio 2006 73
Las Agencias de Protección de Datos tienen competencias para inspeccionar
de oficio, o a instancia de parte, los ficheros de datos personales de lo que
genéricamente hemos denominado Administración Pública.
El objeto de las inspecciones es comprobar el cumplimiento de los principios
de protección de datos en el desarrollo del tratamiento de los datos personales, y el
respeto a los derechos de los ciudadanos.
En caso de detectar una posible comisión de infracción a la normativa de
protección de datos, se podrá abrir el correspondiente procedimiento, para
determinar la existencia o no de la infracción y el responsable o responsables de la
misma. Los procedimientos abiertos contra responsables de ficheros de titularidad
pública podrán finalizar con la declaración de la existencia o no de la infracción,
pudiendo proponer en el primer supuesto que se inicie expediente disciplinario a la
persona que ha resultado responsable de la infracción cometida.
Aparte de las funciones de control que competen a las Agencias de
Protección de Datos, éstas pueden ejercer también una labor consultora,
fundamental para procurar el efectivo cumplimiento de la normativa sobre
protección de datos. En este sentido, la labor de información y asesoramiento se
lleva a cabo tanto de forma individual, asesorando sobre el procedimiento de
inscripción de ficheros y resolviendo las consultas puntuales planteadas por los
responsables de los respectivos ficheros, como de forma colectiva, a través de la
celebración de jornadas informativas organizadas por sectores de actividad, a fin de
tratar en profundidad las cuestiones particulares que pueden plantearse en los
distintos ámbitos de la actuación de la Administración.
8 Consideraciones particulares
8.1 Análisis de algunos supuestos concretos
8.1.1 Derecho a la confidencialidad de los datos personales de los alumnos y derecho de acceso de los padres al expediente académico de sus hijos.
El derecho de acceso a los datos personales es un derecho personalísimo.
Así, el Real Decreto 1332/1994, de 20 de junio, por el que se desarrollan
determinados aspectos de la Ley Orgánica 5/1992, de 29 de octubre, de regulación
del tratamiento automatizado de los datos de carácter personal, artículo 11, señala
que "... los derechos de acceso a los ficheros automatizados, así como los de
rectificación y cancelación de datos son personalísimos y serán ejercidos por el
afectado frente al responsable del fichero. [...] Podrá, no obstante, actuar el
Manual de Introducción a la Protección de Datos
Universidad de La Rioja Mayo - Junio 2006 74
representante legal del afectado cuando éste se encuentre en situación de
incapacidad o minoría de edad que le imposibilite el ejercicio personal de los
mismos". De hecho, el derecho de acceso "se ejercitará mediante petición o
solicitud dirigida al responsable del fichero, formulada por cualquier medio que
garantice la identificación del afectado".
Por tanto, el acceso a los datos personales de los expedientes académicos en
el caso de hijos mayores de edad debe darse únicamente al titular de los datos. El
hecho de que el derecho de acceso sea un derecho personalísimo dificulta el acceso
de cualquier otra persona, aún acreditando la representación legal, si el titular de
los datos no se encuentra en situación de incapacidad. Se puede afirmar que los
padres no tienen derecho de acceso a los expedientes académicos de los hijos
mayores de edad sin su consentimiento.
En el supuesto de que se produzca un acceso indebido a los expedientes de
los hijos por parte de los padres, estaríamos en presencia de una cesión de datos
personales -art. 11 LOPD- sin consentimiento del interesado, lo que sería una
infracción a la legislación de protección de datos personales, que puede ser
denunciado ante las autoridades de control. Además, el hijo tendría la posibilidad
de iniciar un procedimiento ante la jurisdicción penal por un delito de revelación de
secretos, Código Penal, artículo 197, o de presentar una demanda de protección del
derecho a la intimidad, en virtud de la Ley 1/1982, de 5 de mayo, de protección
civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen.
No hay que olvidar que en lo relativo al acceso a los datos personales que
obran en los expedientes académicos existe no sólo la regulación del derecho de
acceso a los tratamientos de datos personales del artículo 15 LOPD sino también el
derecho de acceso a archivos y registros administrativos del artículo 105 b) de la
Constitución. Como se ha indicado anteriormente.
Así, las Secretarías de las Facultades han atribuido al padre el carácter de
interés legítimo a partir de la LRJPAC, para acceder al expediente de sus hijos por
ser éste el que paga fe matrícula. No parece una solución acertada ya que existe en
este caso una legislación específica, la LOPD. Así, una petición de acceso al
expediente con una autorización firmada del alumno y con fotocopia del DNI no es
un procedimiento seguro ya que los padres tienen acceso al DNI y pueden
reproducir fácilmente la firma de sus hijos.
8.1.2 La gestión de la matriculación a través de entidades financieras. La emisión de carné del estudiante junto con tarjetas de crédito o débito.
Manual de Introducción a la Protección de Datos
Universidad de La Rioja Mayo - Junio 2006 75
Las Universidades realizan el proceso de matriculación de alumnos y el pago
de las nóminas de su personal a través de entidades financieras. El pago de la
matrícula a través de una entidad financiera obliga a suministrar muchos datos de
carácter personal. En el pasado, la propia entidad financiera se quedaba con una
copia de la matrícula. Es necesario que en el proceso de matriculación, que implica
un tratamiento de datos personales se respeten los principios y los derechos de los
afectados. Así, hay que garantizar especialmente el principio de calidad en el
tratamiento de los datos que se exijan para este proceso de matriculación. Sólo
pueden recogerse los datos que sean adecuados, pertinentes y no excesivos en
relación con la finalidad de la matriculación, LOPD, artículo 4. Además, es necesario
que se revelen los menores datos posibles a la entidad financiera.
La entidad financiera tiene el carácter de encargada del tratamiento, al ser la
persona jurídica que trata los datos personales por cuenta del responsable del
fichero -art. 3.g) LOPD-, que sería la Universidad. Ahora bien, para que la entidad
financiera tenga el carácter de encargado del tratamiento, es imprescindible que
exista un contrato por escrito o a través de cualquier forma que pueda acreditarse
su celebración que recoja las menciones que obliga la LOPD en su artículo 12.
No obstante, podría entenderse que en el pago de la matrícula a través de
una entidad financiera ésta no sería encargada del tratamiento sino la responsable
del fichero. Cuando uno está haciendo unos pagos a través de una entidad
financiera, de alguna manera está consintiendo en el tratamiento de los datos. O si
lo hace a través de la Universidad, poniendo la cuenta corriente de una entidad
financiera para que le carguen la matrícula, se puede entender que autoriza la
cesión art. 11.2.c) LOPD que se produciría en la medida en que el tratamiento
responde a la libre y legítima aceptación de una relación jurídica cuyo desarrollo,
cumplimiento y control implica necesariamente la conexión de dicho tratamiento
con ficheros de terceros. En todo caso, la entidad financiera no podrá destinar los
datos personales para una finalidad distinta de la matriculación, salvo que exista un
consentimiento informado del interesado que admita el tratamiento de los datos
para otra finalidad.
Otro supuesto diferente consistiría en encargar a las entidades financieras la
edición del carnet del estudiante. Estas serían encargadas del tratamiento por
cuenta del responsable del fichero que sería la Universidad. Esto es legítimo con las
exigencias mencionadas anteriormente. Ahora bien, si la entidad financiera quiere
vincular el carnet del estudiante con una tarjeta de crédito o de débito, tiene que
pedir el consentimiento del interesado. Si esto no se hace, se vulnera el principio de
calidad, al tratar los datos para una finalidad distinta.
Manual de Introducción a la Protección de Datos
Universidad de La Rioja Mayo - Junio 2006 76
8.1.3 La publicación de listados y calificaciones de alumnos en tablones de anuncios y sitios web.
Aquí hay que distinguir situaciones donde rige el principio de publicidad, de
ámbitos donde no rige este principio.
Así, rige el principio de publicidad en el listado de alumnos admitidos que
editan las Universidades con el nombre y demás datos identificativos de éstos. Si
bien no existe una regulación específica con rango de Ley, su propio carácter censal
exige su publicación de una manera que facilite la publicidad y la transparencia. En
este caso, el principio de calidad de los datos exige publicar en el listado de
alumnos admitidos únicamente aquellos datos necesarios para la identificación y
admisión, evitando así el tratamiento de datos excesivos.
En lo relativo a la publicación de las calificaciones, es necesario señalar que
en los procedimientos donde existe concurrencia competitiva, como en los Premios
Extraordinarios de Licenciatura o de Doctorado, debe producirse la publicación del
listado de las personas y de las calificaciones como exigencia del principio de
publicidad. Así, el art. 59.5 b) de la LRJPAC establece que la notificación del acto
administrativo, cuando se trate de actos integrantes de un procedimiento selectivo
o de concurrencia competitiva de cualquier tipo, se realizará mediante la
publicación del acto. La publicación de los listados de personas que estén
participando en un proceso selectivo ante cualquier Administración Pública no es
potestativa sino obligatoria en cumplimiento del principio de publicidad que rige
todas las convocatorias de pruebas selectivas, de acuerdo con las bases de las
mismas. Así, las bases de la convocatoria deberán indicar el tablón de anuncios o
medio de comunicación donde se vayan a realizar las sucesivas publicaciones,
careciendo de validez las que se lleven a efecto en lugares distintos.
La publicación se podrá hacer también en sitios web. Así, la LRJPAC, artículo
45, establece que las Administraciones Públicas impulsarán el empleo y aplicación
de las técnicas y medios electrónicos, informáticos y telemáticos, para el desarrollo
de su actividad y el ejercicio de sus competencias, con las limitaciones que a la
utilización de estos medios establecen la Constitución y las Leyes. La publicación de
estos listados en sitios web es un mecanismo válido de notificación de actos
administrativos, que es equiparable al tablón de anuncios. En todo caso, debe
hacerse constar en las bases de la convocatoria esta forma de publicación,
precisándose el tablón de anuncios o la dirección web, de manera que se garantice
el principio de información para el tratamiento automatizado de datos de carácter
personal.
Manual de Introducción a la Protección de Datos
Universidad de La Rioja Mayo - Junio 2006 77
Ahora bien, si la lista de aspirantes se publicase en el Boletín Oficial del
Estado, de las Comunidades Autónomas o Provinciales, esta información con los
datos de las personas en que ellos figuren sí se convertiría en una fuente de acceso
público. La publicación de estos listados en los Boletines Oficiales permite que sean
estos fuentes accesibles al público, de manera que su consulta pueda ser realizada
por cualquier persona.
Existen otras situaciones donde no rige este principio de publicidad al no
existir un procedimiento de concurrencia competitiva. Estamos hablando, por
ejemplo, de las calificaciones académicas de cada asignatura que tienen como
destinatarios los alumnos y deben anotarse en su expediente académico. Estas
calificaciones académicas, aunque son procedimientos administrativos, no se rigen
por el principio de publicidad sino sólo por la obligación de comunicación al
interesado de !a resolución de ese acto administrativo. La difusión de estas
calificaciones a través de tablones de anuncios o en internet representa un
supuesto de cesión de datos a terceros sin consentimiento. Para ello, sería
necesario que el alumno diera su consentimiento ya que la función administrativa
que exceptúa el consentimiento da cobertura únicamente al tratamiento de sus
datos personales por el profesor pero no la cesión indiscriminada a terceros.
Sin embargo es posible la creación de un sitio de acceso a las calificaciones
de los alumnos mediante contraseña de cada alumno a su expediente, respetando
de esa manera, y haciéndole responsable de su propia contraseña de acceso al sitio,
y por lo tanto haciéndole garante de su propia intimidad.
8.1.4 Los directorios de correo electrónico
El correo electrónico ha sido considerado como un dato de carácter personal
porque es una información concerniente a personas físicas identificadas o
identificables. Por tanto, los directorios de correos electrónicos son un tratamiento
de datos de carácter personal, que tiene que ser declarado. Los directorios de
correos electrónicos deben ser conocidos internamente por todo el personal de la
Universidad porque su función es permitir la comunicación interna y deben ser
publicados también externamente, no sólo los institucionales sino también los de
los profesores, como instrumento que facilite la comunicación con los alumnos.
Inicialmente, el tratamiento de los datos personales del profesor en el
directorio de correos electrónicos de la Universidad no exigiría el consentimiento del
afectado, por ser para el cumplimiento de funciones administrativas -art. 6.2 LOPD-.
No obstante, el profesor puede ejercer el derecho de oposición. Así, como señala el
art. 6.4 LOPD, "... en los casos en los que no sea necesario el consentimiento del
afectado para el tratamiento de los datos de carácter personal, y siempre que una
Manual de Introducción a la Protección de Datos
Universidad de La Rioja Mayo - Junio 2006 78
ley no disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan
motivos fundados y legítimos relativos a una concreta situación personal. En tal
supuesto, el responsable del fichero excluirá del tratamiento los datos relativos al
afectado". Así, una persona que haya recibido amenazas o incluso que haya
recibido correos electrónicos con virus, podría ejercitar el derecho de oposición a
estar en esta lista de distribución de correos electrónicos.
8.1.5 El comité de empresa de la Universidad ha solicitado un listado nominativo de todos los empleados. ¿Debe entregarse?
Los datos que se deben facilitar al comité de empresa se encuentran
regulados en el Estatuto de los Trabajadores, artículo 64.1, en el que indica que el
comité de empresa tiene dentro de sus competencias la de recibir información del
empresario sobre ciertos aspectos.
El comité de empresa tiene una competencia reglada o taxativa, y por tanto
no está habilitado para solicitar o recibir información diferente a la señalada en la
ley y ninguna mención hace la norma a los datos personales de DNI, dirección y
teléfono particular.
Se debe tener en consideración que el comité de empresa sí debe tener
acceso a la información relativa a la copia básica de los contratos según la norma
vigente.
El artículo 65.2 del Estatuto de los Trabajadores, señala que los miembros
del comité de empresa, y éste en su conjunto, observarán sigilo profesional en todo
lo referente a los núms.. 1, 2, 3 y 4 del artículo 64.1, aún después de dejar de
pertenecer al comité de empresa en especial en todas aquellas materias sobre las
que la dirección señale expresamente de carácter reservado. En todo caso, ningún
tipo de documento entregado por la empresa al comité podrá ser utilizado fuera del
estricto ámbito de aquella y para distintos fines de los que motivaron su entrega.
8.1.6 ¿Cuáles son los datos que pueden entregarse a los representantes sindicales?
La cesión de información que contenga datos personales a las Secciones
Sindicales se rige por los mismos criterios que la entregada a los Comités de
Empresa (ver la pregunta anterior).
8.1.7 ¿En los procesos electorales, pueden los candidatos utilizar el censo electoral para dirigir una carta a todos los integrantes del censo para dar a conocer su programa?
Manual de Introducción a la Protección de Datos
Universidad de La Rioja Mayo - Junio 2006 79
Sólo en caso de que esté específicamente previsto en la normativa que
regule los procesos electorales en cada Universidad. Por tanto, el Reglamento
electoral de la propia Universidad deberá establecer la regulación del censo
electoral y prever los datos que debe contener y el uso que se puede hacer del
mismo en el procedimiento electoral por parte de cada candidatura.
8.2 Preguntas y respuestas planteadas en la Universidad de La Rioja
8.2.1 Procedimiento a seguir en la destrucción de datos de carácter personal.
Respecto de los datos contenidos en soportes de papel:
La Universidad durante el año 2005 contrató con una empresa para la
destrucción de los documentos que pudieran contener datos de carácter personal
en soportes de papel (Exámenes, fichas de alumnos, etc.).
Posteriormente, una vez realizada la tarea de mayor volumen, se instalaron
destructoras de papel en cada departamento con el fin de que quien tuviera esos
documentos pudiera proceder a su destrucción una vez que los mismos habían
perdido la finalidad para la que se recogieron.
Respecto de los datos contenidos en soportes informáticos:
El procedimiento de destrucción de los datos se determinará en el
documento de seguridad.
Pero puede anticiparse que la destrucción de los datos no procede cuando
los mismos se cancelan, por cualquiera de las causas previstas para la cancelación,
sino que los datos se deben almacenar durante el tiempo que dure la prescripción
de las sanciones por el tratamiento realizado a los mismos. (Un máximo de 3 años).
Una vez transcurrido ese plazo el servicio informático es el responsable de la
destrucción de los mismos.
8.2.2 Una empresa de Logroño me ha solicitado datos de alumnos de Matemáticas para cubrir un puesto de trabajo, y quería consultaros si hay algún impedimento en relación con la Ley de Protección de Datos. ¿Darles el nombre y teléfono de alumnos que han obtenido notas altas en mis asignaturas podría vulnerar la ley?
La cesión de datos de los alumnos a empresas o particulares terceros debe
estar autorizada por el propio titular y ser consecuente con los fines que motivaron
su recogida.
Habrá que verificar si los alumnos han consentido que sus datos sean
cedidos a terceras personas para estos fines.
Manual de Introducción a la Protección de Datos
Universidad de La Rioja Mayo - Junio 2006 80
En principio, dada la actual situación en la universidad, no se esta
recogiendo el consentimiento para las cesiones a terceros de los datos de los
alumnos, y por lo tanto esta práctica entra en clara oposición al contenido de la
LOPD.
8.2.3 El Decano me pide etiquetas de alumnos para enviarles una carta y como estos alumnos tienen que ser los que han acabado LADE y DCE en los cursos 2003-04 y 2004-5, me imagino que esta base de datos se puede sacar de los titulados en estos cursos.
La remisión de cartas a antiguos alumnos no plantea problemas, sus datos
deben figurar en los ficheros de la universidad, siempre y cuando tales cartas
tengan un contenido relacionado con la actividad docente o administrativa de la
Universidad.
Por ello es necesario que conste por escrito la petición a la unidad concreta
encargada de la impresión de los datos en la que se ponga de manifiesto al
necesidad de obtener esa información y el compromiso de dedicarlo única y
exclusivamente a tales fines.
8.2.4 Te quería comentar que en la biblioteca guardamos fotocopias de todas las facturas de adquisiciones bibliográficas porque durante dos años podemos necesitarlas (en caso de reclamaciones, cancelaciones, etc.). Sin embargo pasado este tiempo ya no las necesitamos. Nunca las hemos destruido pero ahora ya no tenemos espacio y quisiera tirar al menos las anteriores a 2001 para dar cabida a las nuevas.. Todos los originales están en gestión financiera, son solo fotocopias de facturas carentes de valor alguno y sin otra documentación aneja. Me pregunto si ahora, aprovechando que se va a destruir documentación podríamos eliminarlas.
Las facturas, en principio no contienen datos de carácter personal protegidos
por la LOPD. Los proveedores de materiales para la biblioteca (libros, etc.) como
regla general serán personas jurídicas, excluidas del ámbito de protección de la
norma, además en las facturas no se encontrarán informaciones sobre las personas
físicas.
En el caso de que puedan ser proveedores personas físicas, autónomos pro
ejemplo, esos datos al estar relacionados con su actividad económica quedan al
margen del marco regulador de la LOPD.
Siendo, además, ficheros en soporte papel, que no se encuentran
almacenados ordenadamente, que no tienen una estructura en su almacenamiento
relacionada con los datos personales sino cronológica, podría incluso dudarse de su
condición de fichero, ya que el artículo 3.b) define a los ficheros como todo
Manual de Introducción a la Protección de Datos
Universidad de La Rioja Mayo - Junio 2006 81
conjunto organizado de datos personales, faltando ese requisito de orden en los
ficheros.
No existe ningún problema para que sena destruidos cuando ya no sean
necesarios.
8.2.5 Efectivamente recibimos el mensaje a que te refieres, sobre destrucción de documentos. Por ello, yo preparé en el mes de OCTUBRE, una caja con material "sensible" para su destrucción (tamaño aprox. 80cm X 40cm X 60cm). Avise a Secretaría del Departamento de la existencia de dicha caja. Nedie me ha avisado de que una empresa fuera a destruir nada la semana pasada. Todavía tengo la caja en mi despacho. Tal vez podría dedicar media mañana a la destrucción de dicho material, pero mejor con ayuda. ¿Qué debo hacer?
Habiendo transcurrido el plazo previsto para la entrega en los lugares
indicados para la destrucción de documentos sin que, por la razón que sea, estos
hayan sido destruidos procede utilizar las destructoras de papel habilitadas al efecto
y manualmente eliminarlos de manera completa.
8.2.6 En el Servicio de Correos de la UR, venimos guardando las notas de entrega de los envíos realizados a Correos y Telegráfos desde el año 1994. Mantuvimos una reunión con la Secretaria General para comentarle que queremos destruir todo, (tiene una muestra de las notas de envío), y sólo guardar los últimos 4 meses de envíos, ya que el plazo para reclamar a Correos en caso de no llegar un envío es de 4 meses; Esperamos contestación.
En las notas de entrega figuran los datos de las personas a las que se
remiten las comunicaciones.
Los datos con los que se rellenan los envíos son datos provenientes de los
propios titulares, bien de las matriculas, bien de escritos dirigidos a la universidad
por los interesados. Pero esos datos se almacenan en otro tipo de soportes,
informáticos principalmente, siendo las anotaciones en las hojas de entrega meros
soportes temporales de los datos.
Desde el punto de vista de la protección de datos no existen especiales
problemas para que cuando dejen de ser necesarios se destruyan.
Sin embargo podrían ser necesarios en el caso de procedimientos de
reclamación ante la universidad a efectos de demostrar el envío, etc. Pero todo ello
no relacionado con la LOPD.
8.2.7 ¿Qué documentos debemos destruir? ¿Los exámenes y trabajos de los alumnos deben ser destruidos? Y en caso afirmativo, ¿cuándo podemos hacerlo? El estatuto del estudiante da a entender que en octubre ya pueden destruirse los exámenes y trabajos del curso,
Manual de Introducción a la Protección de Datos
Universidad de La Rioja Mayo - Junio 2006 82
pero también hay quien opina que deben conservarse al menos 5 años. Le agradecería la respuesta a esta cuestión, o en su caso su traslado al órgano competente. Saludos.
Desde el punto de vista de la LOPD, procede cancelar y destruir los datos
cuando estos dejen de ser necesarios para la finalidad de su recogida. (Artículo 4.5)
Por lo tanto, dependerá de otra normativa la fijación del momento en el que
ya no es necesario conservar los exámenes y trabajos. (Estatuto del Estudiante,
etc.)
8.2.8 He tenido conocimiento de la Resolución de 11 de febrero de 1997, de nuestra Universidad, por la que se regulan los ficheros automatizados de datos de carácter personal. En este texto no se recoge la información relativa a los ficheros de alumnos que hacen prácticas en empresas y a titulados que hacen uso de la Bolsa de Empleo. Rogaría se me indicará qué procedimiento o instrucciones debemos seguir para actualizar esta información.
Actualmente se están actualizando los listados de ficheros existentes con el
objeto de proceder a las declaraciones de los mismos ante el Registro General de
Protección de Datos.
Los ficheros de la Universidad de La Rioja, como ficheros de titularidad
pública, solo pueden ser creados mediante Disposición General, que es la
Resolución citada en la consulta.
Sin embargo, hay que recordar que en el Registro General de la Agencia de
Protección de Datos no solo se inscriben ficheros, sino también tratamientos de
datos, que pueden por su propia naturaleza comprender varios ficheros de datos.
Así bajo el epígrafe “Alumnos” pueden entenderse comprendidos todos los
ficheros que contengan datos de los alumnos como un tratamiento conjunto de los
mismos y por ello si encontrarse declarados en la Agencia.
Estando correctamente inscritos en el Registro o no, otra de las obligaciones
derivada del principio de calidad de los datos es mantener los mismos actualizados,
por lo que cuando un empleado de la universidad tenga conocimiento de datos
desactualizados deberá proceder bien a su corrección, bien a la notificación al
encargado del mantenimiento del fichero a efectos de que procede a su
actualización.
Por ello la actualización de los datos de los ficheros es un deber fundamental
con independencia del cumplimiento o no de otras obligaciones formales.
Manual de Introducción a la Protección de Datos
Universidad de La Rioja Mayo - Junio 2006 83
8.2.9 1ª¿La publicación de las calificaciones debe hacerse obligatoriamente con nombre y D.N.I ? ¿ O son datos personales y sería mejor publicarlas con DNI solamente?.
2ª Considerando que se publican las calificaciones por parte del profesor *y* que actualmente los alumnos pueden visualizar su expediente a través de internet, inmediatamente después del cierre definitivo de las actas . *¿Tenemos obligación de publicar las actas definitivas?*. La no publicación por segunda vez sería un buen ahorro de tiempo, papel y por tanto de dinero. No obstante, si se mantiene lo de seguir publicando actas, convendría unificar criterios pues en el otro Centro no se publican, o por lo menos no desde la Secretaría.
Remisión al Informe 469/2004 de la Agencia de Protección de Datos.
Informe 469/2004. Agencia Española de Protección de Datos.
La consulta plantea si resulta conforme con lo establecido en la Ley
Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal,
la publicación de las calificaciones de los alumnos en los tablones anuncios de la
Universidad consultante. A su vez, se plantea si dicha publicación puede referirse al
número de Documento Nacional de Identidad o al Número de Expediente Personal
de los alumnos y si, en cualquier caso, requiere el consentimiento del afectado.
Con carácter general, puede señalarse que la publicación de los datos a los
que se refiere la consulta (tanto relativos al nombre y apellidos de los alumnos,
como a su número de Documento Nacional de Identidad o su Número de
Expediente Personal), constituye una auténtica cesión de datos de carácter
personal, definida por el artículo 3 i) de la Ley Orgánica 15/1999, como “toda
revelación de datos realizada a una persona distinta del interesado.”
En relación con las cesiones, el artículo 11.1 de la propia Ley establece como
regla general que “los datos de carácter personal objeto del tratamiento sólo
podrán ser comunicados a un tercero para el cumplimiento de fines directamente
relacionados con las funciones legítimas del cedente y del cesionario con el previo
consentimiento del interesado”. Entre las excepciones a la necesidad de ese
consentimiento recogidas en el artículo 11.2 se encuentra el que la cesión se
encuentre autorizada por una Ley.
En este sentido, la obligación de notificar a los interesados las resoluciones
administrativas que afecten a sus derechos e intereses se establece en artículo 58
de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las
Administraciones Públicas y del Procedimiento Administrativo Común.
Manual de Introducción a la Protección de Datos
Universidad de La Rioja Mayo - Junio 2006 84
En dicho precepto y en el artículo siguiente se regulan taxativamente los
supuestos en que tal notificación se producirá de forma distinta a la notificación
personal, mediante la publicación del acto en tablones de edictos o de anuncios.
Concretamente en el artículo 59.6.b) de la Ley 30 /1992, de 26 de noviembre, se
establece que la publicación sustituirá a la notificación cuando se trate de actos
integrantes de un proceso selectivo.
En consecuencia, a la posibilidad de publicar los listados de aspirantes con
los resultados de un proceso selectivo, resultará de aplicación lo dispuesto por los
citados artículos 58 y 59 de la Ley 30/1992, de 26 de noviembre, de Régimen
Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común,
resultando posible la publicación de los datos de carácter personal, siempre y
cuando la convocatoria determine expresamente el lugar de publicación, y rigiendo
sobre dichos supuestos el principio de publicidad derivado de la aplicación de lo
dispuesto en los mencionados preceptos.
Sin embargo, el supuesto sometido a consulta, esto es, la publicación de las
calificaciones de los alumnos en los tablones de anuncios de la Universidad
consultante, no queda amparado por lo establecido en los citados preceptos, por
cuanto en dicho supuesto no nos encontramos en presencia de un proceso selectivo,
sino ante una forma de comunicación y/o traslado de las notas de calificación
correspondientes a cada asignatura, que tienen como destinatario únicamente a los
alumnos afectados, anotándose –a su vez- en su expediente académico.
En consecuencia la difusión de dichas notas de calificación a través de los
tablones de anuncios de la Universidad, constituirá una cesión de datos de carácter
personal de los alumnos no autorizada por una norma con rango de ley formal. En
ese caso, atendiendo a la regulación de la Ley Orgánica (artículo 11.2. a), sería
necesario que cada alumno diera su consentimiento inequívoco para poder realizar
la publicación de las calificaciones, dado que estos supuesto no constituyen ninguna
de las excepciones legales para poder efectuar las cesiones sin consentimiento.
Por lo demás, no siendo conforme con lo dispuesto por la Ley Orgánica
15/1999 la referida publicación, no es menester analizar la procedencia de la
inclusión de determinado tipo de datos (D.N.I, Número de Expediente Personal de
los alumnos, o cualquier otro) a los que se refiere el consultante en su escrito,
cuando el consentimiento del afectado no ha sido convenientemente recabado.
Manual de Introducción a la Protección de Datos
Universidad de La Rioja Mayo - Junio 2006 85
8.2.10 Desde la OSE le preguntan al Vicerrector de Convergencia Europea si existe algún obstáculo para poder solicitar a los distintos servicios el acceso a los datos que ellos manejan. La finalidad es poder cumplimentar datos que solicitan desde la ANECA para poner en marcha, como procedimiento piloto, el sistema de acreditación
De acuerdo al contenido del artículo 21.1 LOPD los datos no podrán ser
cedidos entre Administraciones Públicas cuando los mismos respondan al ejercicio
de competencias diferentes o de competencias sobre materias distintas, excepto
que los datos se envíen por motivos estadísticos.
En este caso la cesión de datos se realiza por motivos estadísticos,
encontrándose amparada la cesión por la LOPD.
8.2.11 Tal y como hemos quedado, me he informado en el Vicerrectorado de Estudiantes y me han dicho que sí tenemos esos datos. Los centros de secundaria de La Rioja en los que se imparte bachillerato envían, cada año, esos datos a la Universidad para preparar la Selectividad. Los datos se graban en programa AGORA y están disponibles en el Servicio de Gestión Académica.
De acuerdo al contenido del artículo 21.1 LOPD los datos no podrán ser
cedidos entre Administraciones Públicas cuando los mismos respondan al ejercicio
de competencias diferentes o de competencias sobre materias distintas, excepto
que los datos se envíen por motivos estadísticos.
En este caso la comunicación de los datos se realiza en el marco de
competencias comunes entre administraciones, la enseñanza reglada en todos sus
niveles en La Rioja, y por lo tanto tal comunicación encuentra amparo en el citado
artículo.
Como todas las comunicaciones de datos entre las administraciones
reguladas por el artículo 21 no se requerirá el consentimiento del titular para la
comunicación.
8.2.12 Igual que el año pasado necesitamos para realizar la difusión de las Becas de Colaboración 2006-2007, en el marco del Convenio Marco Parlamento de La Rioja-Universidad de La Rioja, los siguientes datos: -Relación de los alumnos en tercer curso de la Licenciatura de Derecho con medias académicas superiores a 6,5 -Nombre y dirección postal. He pedido también a la Secretaria General la oportuna autorización que me imagino que os la hará llegar en breve.
La publicidad de ayudas y becas deberá hacerse siguiendo las reglas
normales de publicación de las convocatorias (mediante tablones, en la página web,
etc.) no siendo necesario para ello el empleo de datos de carácter personal de
ningún tipo, por lo que no procede la consulta de datos ni el uso de los mismos con
esa finalidad.