manual de pdur - unirioja.es pdur.pdf · manual de introducción a la protección de datos...

Adjunto al Rector para la

Protección de Datos de Carácter Personal

Materiales formativos curso de protección de datos para personal de la Universidad de La Rioja

Manual de Introducción a la Protección de Datos

Universidad de La Rioja Mayo - Junio 2006 1

1 Antecedentes Normativos: ................................................................... 3

1.1 El artículo 18.4 de la Constitución Española.................................................... 3

1.2 La Ley Orgánica Reguladora del Tratamiento Automatizado de Datos. ................ 4

1.3 El Real Decreto 994/1999, Reglamento de Medidas de Seguridad. ..................... 7

1.4 La Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter

personal. ............................................................................................................. 8

1.5 La Resolución y normativa interna de la Universidad de La Rioja. .....................10

2 Definiciones ....................................................................................... 13

2.1 Definiciones Generales. ..............................................................................13

2.1.1 Dato de carácter personal. ..................................................................13

2.1.2 Fichero de datos ................................................................................14

2.1.3 Tratamiento de Datos .........................................................................15

2.1.4 Responsable del Fichero......................................................................15

2.1.5 Comunicación de datos .......................................................................15

2.1.6 Acceso por cuenta de terceros .............................................................16

2.1.7 Encargado del tratamiento ..................................................................16

2.1.8 Afectado o Interesado.........................................................................17

2.1.9 Consentimiento..................................................................................17

2.1.10 Procedimiento de Disociación ...............................................................17

2.1.11 Fuentes accesibles al público. ..............................................................18

2.2 Principios Rectores en la materia. ................................................................19

2.2.1 El principio de calidad de los datos o de equilibrio. ..................................19

2.2.2 Principio de Finalidad ..........................................................................19

2.2.3 Principio de actualidad o exactitud........................................................21

2.3 Principio de información .............................................................................22

2.4 Principio de consentimiento: .......................................................................23

3 Tipología ............................................................................................ 27

3.1 Datos Básicos ...........................................................................................27

3.2 Datos Especialmente Protegidos ..................................................................27

3.2.1 Datos de Ideología. ............................................................................27

3.2.2 Afiliación sindical................................................................................28

3.2.3 Religión y Creencias: ..........................................................................32

3.2.4 Origen Racial.....................................................................................33

3.2.5 Datos de Salud. .................................................................................34

3.2.6 Datos de Comisiones de Infracciones Penales y Administrativas ................41

3.3 Ficheros de las Administraciones Públicas......................................................41

3.3.1 La determinación del concepto Administración Pública .............................41

3.3.2 La obligatoriedad de disposición general para la creación del fichero..........42

3.3.3 Las cesiones de datos entre administraciones.........................................43

3.3.4 El acceso por cuenta de terceros al tratamiento de datos de las

Administraciones Públicas ..................................................................................45



3.3.5 El derecho a la información y el régimen excepcional para los ficheros de las

Administraciones Públicas ..................................................................................46

3.4 Deber de Secreto y Confidencialidad ............................................................47

4 Derechos de los titulares.................................................................... 48

4.1 Acceso.....................................................................................................48

4.1.1 Normativa básica ...............................................................................48

4.1.2 Titulares del Derecho..........................................................................49

4.1.3 Objeto del derecho.............................................................................50

4.1.4 Procedimiento para el ejercicio.............................................................50

4.1.5 Límites .............................................................................................51

4.1.6 Denegación del derecho ......................................................................53

4.1.7 La difusión de datos de las Administraciones Públicas a través de INTERNET..

.......................................................................................................53

4.2 Rectificación .............................................................................................56

4.3 Cancelación ..............................................................................................56

4.4 Oposición .................................................................................................57

4.5 Indemnización ..........................................................................................58

4.6 Impugnación de valoraciones ......................................................................58

4.7 Limitaciones de los derechos de los titulares en relación a los ficheros públicos ..59

5 Las Medidas de Seguridad. ................................................................. 59

5.1 Introducción .............................................................................................60

5.2 El Documento de Seguridad: contenidos .......................................................61

5.3 Funciones y Obligaciones del Personal ..........................................................62

5.4 Otros contenidos .......................................................................................62

5.5 El caso de las medias de seguridad en ficheros en soporte papel ......................65

6 Infracciones y Sanciones.................................................................... 65

6.1 Las infracciones en la LOPD ........................................................................65

6.2 El régimen especial de la responsabilidad de las Administraciones ....................68

6.3 La responsabilidad patrimonial derivada de la actuación de la Administración

Pública ..............................................................................................................71

7 La Agencia Española de Protección de Datos. ..................................... 72

8 Consideraciones particulares................................................................... 73

8.1 Análisis de algunos supuestos concretos .......................................................73

8.2 Preguntas y respuestas planteadas en la Universidad de La Rioja .....................79



1 Antecedentes Normativos:

1.1 El artículo 18.4 de la Constitución Española.

La preocupación por el respeto al derecho a la intimidad y la potencialidad

que la informática representaba para su vulneración recorrió el convulso continente

europeo en los años sesenta del siglo pasado. Fundamentalmente en Alemania y

Francia 1 , donde se desarrollaron las primeras leyes que regulaban la materia,

estableciendo límites al uso de la informática para el tratamiento de los datos

personales de los ciudadanos.

La preocupación fundamental no surgía de los tratamientos de datos

personales realizados por personas individuales, sino de las posibles consecuencias

de su uso por las Administraciones Públicas, en particular las fuerzas de seguridad,

toda vez que la tecnología disponible sólo era accesible para los estados dados sus

requisitos de manejo y precio.

La Constitución Española, de una manera notable se anticipó a la

preocupación existente por las posibilidades que la informática, en aquella época

casi ciencia ficción, se podían dar en relación con el derecho a la intimidad y sus

posibles intromisiones y le otorgó carácter constitucional.2

Así al regular el artículo 18, respecto del derecho a la intimidad, los

constituyentes decidieron introducir como novedad respeto de cualesquiera otros

textos constitucionales españoles anteriores, un apartado, el 4º, cuyo literal es:

“La Ley limitará el uso de la informática para garantizar el honor

y la intimidad personal y familiar de los ciudadanos y el pleno

ejercicio de sus derechos.”

Con este mandato claro al legislador, nacido en el propio texto constituyente,

era de esperar una regulación limitativa del uso de la informática al objeto de

conseguir una efectiva protección y respeto del derecho a la intimidad.

1 La primera de las leyes promulgadas, del Land de Hesse, de la ex-República Federal de Alemania (7-10-70), la ley federal alemana de 1977 (Ley Federal de Protección de Datos, Datenschutz); la ley sueca (1973); la ley francesa sobre "Informática, Ficheros y Libertades" (6-1-78), la ley federal de Austria sobre Protección de Datos Informáticos de Índole Personal (18-10-78) y muchas otras que han seguido con los años. 2 La elevación a rango constitucional de la protección frente al uso abusivo de la informática, se produjo en la Constitución portuguesa de 1976 y siguió en otros textos constitucionales, como ejemplo sin ánimo exhaustivo, Botswana (1966) Antigua (1981), Holanda (1983) Croacia (1990), etc. Prácticamente todas las Constituciones posteriores han incorporado previsiones en el mismo sentido.



El primer texto legal español dictado en cumplimiento de este mandato, al

menos de manera parcial, se encuentra en la Ley Orgánica 1/19823, sobre la

protección civil del derecho al honor, a la intimidad personal y familiar y a

la propia imagen (Disposición Transitoria Primera), como legislación aplicable

para la protección frente a las intromisiones ilegítimas en la intimidad y el honor

mediante el uso de la informática, mientras no se desarrolló la legislación específica

prevista en el artículo 18 de la Constitución, operando a modo de cláusula de cierre.

Sin embargo, esta norma no establecía un marco claramente definido y

resultaba insuficiente para controlar los avances tecnológicos que habrían de

sucederse en la década siguiente. Es verdad que las potencialidades de la

informática en la época se encontraban ciertamente limitadas ya que los equipos

aptos para realizar tratamientos eran muy escasos e inaccesibles.

Con el transcurrir de la década el panorama cambió radicalmente y los

equipos y sistemas de tratamiento de la información se hicieron más habituales,

primero entre las empresas y después entre los ciudadanos, multiplicando los

riesgos para la intimidad y el interés en introducirse en la esfera más íntima de las

personas utilizando procedimientos automatizados gracias a la informática.

Así finalmente, en el año 1992 se promulga el primer texto normativo en

desarrollo completo del mandato constitucional, la Ley Orgánica Reguladora del

Tratamiento Automatizado de Datos.

1.2 La Ley Orgánica Reguladora del Tratamiento Automatizado de Datos.

El 29 de octubre de 1992, es aprobada la Ley Orgánica Reguladora del

Tratamiento Automatizado de Datos, más conocida por sus iniciales, LORTAD4.

Debido a que desarrollaba el artículo 18 de la Constitución, y que dicho

artículo se encontraba en el Título Primero, Sección Primera, de los derechos y

fundamentales y de las libertades públicas, su desarrollo se realizó mediante el

procedimiento de Ley Orgánica, de acuerdo al contenido del artículo 81 de la

Constitución.

En primer lugar hay que aclarar que el derecho a la intimidad es un

derecho a la intimidad personal y familiar, considerado un derecho fundamental de

la persona humana, autónomo, limitado pero sin perder su efectiva incolumidad

(STS de 30 de Marzo de 1990 y STS de 24 de Mayo de 1990, y la STCo núm.

120/1990, de 27 de Junio). Por lo tanto, sólo es un derecho reconocido a favor de

3 LO 1/1982, de 5 de mayo (BOE 14-05-1982). 4 LO 5/1992, de 29 de octubre (BOE 31-10-1992).



personas físicas. No tienen derecho a la intimidad las personas jurídicas. Su

información profesional, comercial, etc. se encuentra protegida mediante

mecanismos completamente diferentes al de las personas, como son el secreto

profesional, el secreto industrial, etc.

Por lo tanto, no podrán solicitar amparo judicial o administrativo las

personas jurídicas con base en la normativa de protección de datos.

Además esta Ley, dado su carácter de desarrollo única y exclusivamente del

mandato constitucional, sólo se preocupaba de los ficheros de datos o

informaciones susceptibles de ser tratadas mediante procedimientos automatizados.

Recordemos que la Constitución se refiere simplemente a que la ley limitará el uso

de la informática y, por lo tanto, el resto de ficheros o datos incorporados a ficheros

que figuren en soporte de papel no se veían afectados por la regulación propuesta

en la LORTAD.

Una de las aportaciones fundamentales de la LORTAD es el reconocimiento

del derecho a la “autodeterminación informativa” cuya base viene constituida

por la exigencia del consentimiento consciente e informado del afectado para que la

recogida de datos sea lícita y por el derecho a decidir en todo momento el

tratamiento dado a los datos, a decidir el origen y destino de los datos de los que

uno es titular.

En la redacción de la ley ya se prevé la existencia de una tipología de

ficheros en función de su adscripción o de la naturaleza jurídica de la persona

encargada de su tratamiento. Por un lado, se regulan los ficheros de titularidad

privada, aquellos creados por empresas o particulares, cuyas relaciones y

estatutos se someten a derecho privado y, por otro, los ficheros de titularidad

pública, para todos aquellos ficheros de datos y tratamientos mantenidos por las

Administraciones.

Así, en primer lugar, cumpliendo uno de los mandatos esenciales e

imprescindibles para asegurar la máxima eficacia de sus disposiciones, la Ley

encomienda el control de su aplicación a un órgano independiente, al que atribuye

el estatuto de Ente público en los términos del art. 6.5 de la entonces vigente Ley

General Presupuestaria. A tal efecto la Ley configura un órgano especializado,

denominado Agencia de Protección de Datos (Título VI, artículo 34 y siguientes),

a cuyo frente sitúa un Director.

La Agencia se caracteriza por la absoluta independencia de su Director en el

ejercicio de sus funciones, independencia que trae causa, en primer lugar, de un

expreso imperativo legal, pero que se garantiza, en todo caso, mediante el



establecimiento de un mandato fijo que sólo puede ser acortado por un numerus

clausus de causas de cese.

La Agencia dispone, además, de un órgano de apoyo definido por los

caracteres de colegiación y representatividad, en el que obtienen presencia las

Cámaras que representan a la soberanía nacional, las Administraciones Públicas en

cuanto titulares de ficheros objeto de la presente Ley, el sector privado, las

organizaciones de usuarios y consumidores y otras personas relacionadas con las

diversas funciones que cumplen los archivos informatizados. Para dotar de

auténtica funcionalidad jurídica a la Agencia de Protección de Datos, se redacta el

Real Decreto 428/1993, de 26 de marzo, de Estatuto de la Agencia de

Protección de Datos, que regula de manera completa todo lo relativo a este ente.

Otra de las creaciones importantes de la LORTAD fue el Registro General

de Protección de Datos, artículo 38, cuyo objeto es la inscripción de los ficheros

de datos sobre los que recae la obligación de inscribir. El Registro proporciona a los

titulares de los datos, las personas, un lugar donde conocer los tratamientos de

datos realizados y los responsables de los mismos, así como los ficheros a los que

se incorporan, y por lo tanto la información necesaria para el ejercicio de los

derechos de acceso, oposición, rectificación y cancelación.

La LORTAD además contemplaba la posibilidad de la creación de Agencias

de Protección de Datos Autonómicas, artículo 40, para los ficheros de

titularidad pública creados en los territorios de potestades de las mismas, y sus

correspondientes Registros Generales, artículo 41, en los que conocer los ficheros

existentes para cada una de las administraciones autonómicas.

Actualmente disponen de Agencia de Protección de Datos propia la

Comunidad de Madrid, la Comunidad de Cataluña, y la Comunidad del País Vasco, y

se encuentran en proceso otras en todo el territorio nacional, como por ejemplo la

andaluza.

En la Comunidad Autónoma de La Rioja, de momento no está prevista la

creación de una Agencia Propia, en cuyo caso habría que proceder a inscribir los

ficheros de la Universidad de La Rioja ante este organismo, pero de momento la

inscripción procede ante la Agencia Española.

La Ley proponía una serie de desarrollos legislativos posteriores a su

promulgación, que tuvieron una lenta tramitación. Como por ejemplo el Real

Decreto 1332/1994, de 20 de junio, de desarrollo de determinados

aspectos de la LORTAD. Dicho Real Decreto se dedica fundamentalmente a la

regulación de la transferencia internacional de datos, a la regulación del



ejercicio de los derechos y tutela de los mismos y a recoger el procedimiento

sancionador. Parte de este decreto se mantiene vigente a pesar de tener origen en

una norma derogada.

1.3 El Real Decreto 994/1999, Reglamento de Medidas de Seguridad.

El texto de la LORTAD introduce la necesidad de aplicar una serie de

medidas de seguridad a los ficheros de datos de carácter personal, artículo 43.3 h),

que por vía reglamentaria se determinen, y de no proceder a su protección

adecuada se incurrirá en un hecho sancionable.

Esta obligación de incorporar una serie de medidas de seguridad viene

impuesta por el mandato de la LORTAD, artículo 9, al responsable del fichero de

adoptar medidas de índole técnico y organizativo que garanticen la seguridad de los

datos de carácter personal y eviten su pérdida alteración tratamiento o acceso no

autorizado, teniendo en cuenta el estado de la tecnología, la naturaleza de los datos

almacenados y los riesgos a que estén expuestos.

La Agencia de Protección de Datos, se expresaba de la siguiente manera en

la Memoria de 1994:

"la seguridad no puede ser lograda y mantenida por la simple

instalación de dispositivos físicos o lógicos, sino que requiere la

consideración de múltiples puntos de vista y la acción concertada

de medidas de variada naturaleza, entre las que las relacionadas

con los factores humanos no son menos importantes que las

tecnológicas".

Aumentando aún mas los factores necesarios a contemplar a la hora de

establecer un plan de protección de datos en cualquier empresa o administración.

Esta indeterminación en cuanto a las medidas aplicables a los ficheros y

tratamientos, en tanto no se promulgó el necesario desarrollo reglamentario, hacía

inviable la adecuación de las empresas al correcto cumplimiento de la legislación

pues esta no se encontraba correctamente delimitada y se provocaba inseguridad

jurídica.

Hubo que esperar 7 años para que se promulgase el Real Decreto

994/1999 de 11 de junio, por el que se aprueba el Reglamento de Medidas

de Seguridad de los Ficheros automatizados que contengan datos de

carácter personal, o RMS.

Sin embargo en esa fecha ya se estaba terminando de elaborar la que sería

Ley Orgánica 15/1999, que finalmente fue aprobada el 13 de diciembre.



El RMS contiene un completo catalogo de medidas técnicas y organizativas

referidas a los ficheros automatizados de datos.

El RMS comienza, artículo 1, delimitando su ámbito de aplicación, que es

de una amplitud enorme, ya que se extiende a:

“[…] garantizar la seguridad que deben reunir los ficheros

automatizados, los centros de tratamiento, locales, equipos,

sistemas, programas y las personas que intervengan en el

tratamiento automatizado de los datos de carácter personal

sujetos al régimen de la Ley Orgánica 5/1992, de 29 de octubre,

de Regulación del Tratamiento Automatizado de los Datos de

Carácter Personal.”

Pero ya entrando en las medidas de seguridad exigidas, estas se agrupan

por niveles, en orden jerárquico acumulativo, en función del grado de protección

requerido por los datos bajo los que recaen.

Así existen medidas de seguridad de nivel básico, medio y alto.

Dentro de las medidas propuestas, el documento de seguridad

probablemente sea la más importante de todas ellas, toda vez que es un

documento de obligatoria redacción para todos los responsables de ficheros y cuyo

contenido recoge y especifica las medidas a aplicar.

1.4 La Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos

de carácter personal.

Tras unos años de tímida aplicación, en diciembre de 1999, unos meses

después de la publicación del RMS, se aprueba la normativa básica vigente en la

actualidad, la Ley Orgánica 15/1999, de 13 de diciembre, de protección de

datos de carácter personal, LOPD.

La necesidad de realizar una nueva regulación en la materia venía motivada

por dos factores fundamentales, uno de tipo técnico o natural y otro legal.

Por un lado, el increíble desarrollo experimentado por la informática a lo

largo de la década de los 90 y, por otro, la necesidad de implementar una

normativa a nivel comunitario que armonizase la situación de los datos en los

diferentes Estados miembros de la Unión Europea, lo que motivó la Directiva

95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995

relativa a la protección de las personas físicas en lo que respecta al tratamiento de

datos personales y a la libre circulación de estos datos.



Esta Directiva, en su artículo 32.1 establecía:

«1. Los Estados miembros adoptarán las disposiciones legales,

reglamentarias y administrativas necesarias para dar

cumplimiento a lo establecido en la presente Directiva, a más

tardar al final de un período de tres años a partir de su

adopción.»

Por lo tanto debían incorporarse sus disposiciones antes de Noviembre de

1998. El legislador español, tardó un año más en transponerla.

El aspecto más importante, y novedoso, de la Directiva respecto de la

LORTAD, es su extensión, no sólo a los ficheros susceptibles de ser tratados

mediante procedimientos automatizados, sino también de aquellos datos

almacenados en soportes en papel, artículo 3.15.

Dado su carácter de norma de Derecho internacional, y dadas las razones de

su existencia - fundamentalmente la armonización de derechos entre Estados -,

recoge también una serie de normas que regirán en la circulación de información

entre los estados miembros de la Unión Europea.

La LOPD, todo su título II, dado su carácter de normativa destinada a la

protección de derechos fundamentales, se encuentra considerado como Ley

Orgánica6, sin embargo hay partes de la norma que tienen rango de ley ordinaria y

sus disposiciones se ven sometidas al régimen que le corresponde de acuerdo a esa

consideración.

El título II hace referencia a los principios rectores que operan en la materia

de Protección de Datos y que se verán mas adelante.

La LOPD se estructura en siete títulos, que engloban un total de cuarenta y

nueve artículos, seis disposiciones adicionales, tres transitorias, una derogatoria y

tres finales.

En su artículo 2 comienza definiendo su ámbito de aplicación, que se

extenderá a todos los datos registrados en soporte físico, acogiendo la ampliación

mencionada respecto del tratamiento automatizado de los mismos. Pero se exige

como requisito que ese soporte los haga susceptibles de ser tratados, tanto por el

sector público como por el privado.

Se excluye del ámbito de aplicación de la norma (artículo 2.2):

5 “Las disposiciones de la presente Directiva se aplicarán al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.” 6 Ver Disposición Final Segunda.



- Los ficheros de personas físicas en actividades meramente privadas

o personales, como por ejemplo agendas electrónicas, etc.

- Los ficheros sometidos a la normativa sobre protección de materias

clasificadas.

- Los ficheros establecidos para la investigación del terrorismo y

otras formas de delincuencia organizada.

Por lo tanto, los ficheros de la Universidad de La Rioja, como Administración

Pública estarán plenamente dentro del ámbito de aplicación de la LOPD.

1.5 La Resolución y normativa interna de la Universidad de La Rioja.

Dado el carácter de Administración Pública de la Universidad de La Rioja, los

datos de carácter personal de los que ella es responsable serán considerados

ficheros de titularidad pública y sometidos al régimen especial que la LOPD prevé

para este tipo de ficheros, artículo 20.

En consecuencia para la creación, modificación o supresión, de los ficheros

será necesaria la emisión de una disposición de carácter general. En el caso de la

Universidad de La Rioja, una Resolución del Rector por la que se creen,

modifiquen o supriman los ficheros, para posteriormente proceder a su notificación

al Registro General de Protección de Datos.

Las comunicaciones se realizan al Registro General de Protección de Datos

toda vez que en la Comunidad Autónoma de La Rioja, tal y como hemos visto, no

existe una Agencia Autonómica con su propio registro encargada de los ficheros de

titularidad pública creados en el territorio de su competencia.

La Universidad de La Rioja tiene inscritos 4 ficheros de datos en el Registro

General. La disposición por la que se crearon fue publicada en el Boletín Oficial del

Estado con fecha 19 de febrero de 1997.

Los ficheros inscritos por la Universidad son:

NOMBRE Descripción FECHA

ALUMNOS DATOS DE LOS ALUMNOS DE LA UNIVERSIDAD 11-02-1997

BIBLIOTECA GESTION USUARIOS SERVICIO BIBLIOTECA 11-02-1997

DATOS ECONOMICOS DATOS ECONOMICOS PARA LA GESTION

ECONOMICA DE LA UNIVERSIDAD 11-02-1997

PERSONAL DATOS DEL PERSONAL DE LA UNIVERSIDAD

PARA SU GESTION 11-02-1997



La Universidad de La Rioja se encuentra en pleno proceso de adaptación a la

normativa sobre protección de datos, habiendo creado para tal efecto un adjunto al

Rector responsable de la implantación de las mismas, cuyo misión es la de actuar

como el Responsable de Seguridad que la legislación dispone.

Los decretos de creación de los ficheros referidos fueron publicados el

Boletín Oficial del Estado el 19 de febrero de 19977.

El contenido de la Disposición General respecto de los ficheros es el

siguiente:

Número 1. Fichero automatizado de alumnos.

1. Finalidad: Soporte a los procesos de gestión académico-administrativa de

los expedientes de los alumnos de la Universidad y de quienes se encuentran en

proceso de incorporación a la misma.

2. Uso: Gestión de las pruebas de acceso a la Universidad, proceso de

asignación de plazas, matriculación, becas y ayudas, expediente académico,

doctorado, estudios propios, títulos,...

3. Personas o colectivos sobre los que se pretende obtener datos o resultar

obligados a suministrarlos: Aspirantes en las pruebas de acceso, solicitantes de

plaza, matrícula, becas y ayudas.

4. Procedimiento de recogida de datos: Declaraciones, formularios y

transmisión electrónica.

5. Estructura básica del fichero automatizado y descripción de los datos

contenidos en el mismo: Tablas de una base de datos relacional y ficheros

distribuidos con los siguientes tipos de datos: de carácter personal, académico y

socioeconómico.

6. Cesiones de datos que se prevén: Ministerio de Educación y Cultura,

Comunidad Autónoma de La Rioja, Consejo de Universidades y entidades bancarias

colaboradoras.

Número 2. Fichero automatizado de personal.

1. Finalidad: Gestión económico-administrativa del personal de la

Universidad.

2. Uso: Gestión de plantillas, expedientes administrativos, nóminas,

formación, convocatorias y concursos.

7 Accesible desde http://www.boe.es/g/es/bases_datos/doc.php?coleccion=iberlex&id=1997/03619&txtlen=1000 el día 20 de abril de 2006.




obligados a suministrarlos: Personal al servicio de la Universidad, opositores y

participantes en procesos selectivos.

4. Procedimiento de recogida de datos: Encuestas, entrevistas, declaraciones,

formularios, transmisión electrónica de datos y registros públicos.



distribuidos con los siguientes tipos de datos: De carácter identificativo, personal,

profesional, académicos, de carácter social, económicos, retributivos y de carrera

profesional.

6. Cesiones de datos que se prevén: Ministerio para las Administraciones

Públicas, Ministerio de Economía y Hacienda, Ministerio de Educación y Cultura,

Comunidad Autónoma de La Rioja, Consejo de Universidades, Ministerio de Trabajo

y Seguridad Social, MUFACE y entidades bancarias colaboradoras.

Número 3. Fichero automatizado de datos económicos.

1. Finalidad: Gestión económica de la Universidad de La Rioja.

2. Uso: Gestión de expedientes económicos y administrativos, centros de

gasto, proveedores y tesorería.


obligados a suministrarlos: Trabajadores, proveedores y usuarios o clientes de esta

Universidad.

4. Procedimiento de recogida de datos: Declaraciones, formularios,

transmisión electrónica de datos.



distribuidos con los siguientes tipos de datos: Datos de carácter personal,

socioeconómicos y de tramitaciones.

6. Cesiones de datos que se prevén: Ministerio de Economía y Hacienda,

Seguridad Social, Comunidad Autónoma de La Rioja y entidades bancarias

colaboradoras.

Número 4. Fichero automatizado de biblioteca.

1. Finalidad: Funcionamiento del servicio de préstamo automatizado de la

biblioteca: Control de usuarios del servicio y circulación de fondos bibliográficos.

2. Uso: Poder llevar a cabo la función de préstamo bibliotecario.




obligados a suministrarlos: Usuarios reales o potenciales del servicio.

4. Procedimiento de recogida de datos: Petición del interesado y transmisión

electrónica de datos.


contenidos en el mismo: Ficheros de bases de datos documental y relacional con

datos de carácter identificativo.

6. Cesiones de datos que se prevén: No están previstas.

No habiéndose practicado hasta la fecha nuevas inscripciones,

modificaciones o cancelaciones de los mismos ni habiéndose alterado las finalidades

declaradas ni los usos de los mismos, estas inscripciones permanecen vigentes y

responden a las habilitaciones para el tratamiento de los respetivos ficheros.

2 Definiciones

2.1 Definiciones Generales.

La LOPD incorpora, derivada de su origen en una Directiva comunitaria en

las que es práctica habitual, un precepto dedicado a contener una serie de

definiciones de conceptos utilizados en la propia norma al objeto de clarificar y

asegurar la inexistencia de conceptos jurídicos indeterminados.

Repasaremos alguno de los conceptos básicos contenidos en la ley, y otros

asociados igualmente importantes en la materia.

2.1.1 Dato de carácter personal.

Se define en la ley como cualquier información concerniente a personas

físicas identificadas o identificables. El contenido no puede ser más claro. Cualquier

información, del tipo que sea, que haga relación a cualquier circunstancia de la vida

de una persona identificada, o que sea identificable y relacionable, con esa

información constituirá un dato de carácter personal.

"Cualquier información concerniente a personas físicas

identificadas o identificables" (Art. 3, letra a) LOPD).

La Sentencia del Tribunal Constitucional núm. 292/2000 establece que "el

derecho a la protección de datos no se reduce sólo a los datos íntimos de la

persona, sino a cualquier tipo de dato personal, sea o no íntimo, cuyo conocimiento

o empleo por terceros pueda afectar a sus derechos, sean o no fundamentales,

porque su objeto no es sólo la intimidad individual".



De acuerdo con la definición que establece la Directiva 95/46 CE, "se

considerará identificable toda persona cuya identidad pueda determinarse, directa o

indirectamente, en particular mediante un número de identificación o uno o varios

elementos específicos, característicos de su identidad física, fisiológica, psíquica,

económica, cultural o social".

También la Directiva 95/46/CE, indica en su considerando 26 que:

"... para determinar si una persona es identificable, hay que

considerar el conjunto de los medios que puedan ser

razonablemente utilizados por el responsable del tratamiento por

cualquier otra persona, para identificar a dicha persona; que los

principios de la protección no se aplicarán a aquellos datos

hechos anónimos de manera tal que ya no sea posible identificar

al interesado; que los códigos de conducta... pueden constituir un

elemento útil para proporcionar indicaciones sobre los medios

gracias a los cuales los datos pueden hacerse anónimos y

conservarse de forma tal que impida identificar al interesado".

Por ejemplo, son datos de carácter personal el nombre, el DNI de una

persona, las calificaciones obtenidas en unos exámenes, el número de cuenta, etc.

2.1.2 Fichero de datos

Por fichero se ha de entender el conjunto organizado de datos de carácter

personal, cualquiera que fuere la forma o modalidad de su creación,

almacenamiento, organización y acceso.

Cualquier simple acumulación de informaciones sobre una persona física, por

ese simple hecho de estar unidas no constituye fichero, si no que debe haber un

criterio de organización de la información contenida que permita realizar búsquedas

y acceder a la información a partir de ciertos criterios.

Por ejemplo, cualquier agenda en papel, ordenada por un criterio alfabético,

constituye un fichero de datos, y por lo tanto es susceptible de ser sometido al

régimen de la LOPD (con la excepción aquellos ficheros se encuentre en una de las

causas de exclusión de este régimen).

Es indiferente, como se ha expuesto, la necesidad de que los datos se

encuentren tanto en soporte papel o informático, cualquier conjunto de datos

almacenados de acuerdo a una estructura constituye un fichero.



2.1.3 Tratamiento de Datos

Por tratamiento de datos debe entenderse a todas las operaciones y

procedimientos técnicos de carácter automatizado o no, que permitan la recogida,

grabación, conservación, elaboración, modificación, bloqueo y cancelación, así

como las cesiones de datos que resulten de comunicaciones, consultas,

interconexiones y transferencias.

Así el tratamiento de los datos es el proceso por el cual los datos sirven a

una utilidad. Ha de entenderse que los datos per se no tienen una utilidad si no son

sometidos a tratamiento. Es información que existe, pero que no despliega todo su

valor y potencialidad hasta que no se practican sobre ellos determinadas

operaciones.

Ejemplos de tratamientos son una base de datos para elaborar

correspondencia, los formularios de recogida de las matriculas en la Universidad,

etc.

2.1.4 Responsable del Fichero

Es la persona física o jurídica, de naturaleza pública o privada, u órgano

administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.

Dicha persona es responsable de todo lo que pase con los datos contenidos

en el fichero, así como de aplicar las medidas que legalmente se le impongan y será

también la que decida la finalidad de la recogida de los datos.

Esta voluntariedad de aplicar los datos a la consecución de un fin es la que

definirá varias situaciones trascendentes respecto de los datos, v. gr. a la hora de

determinar cuando nos encontramos ante un tratamiento por cuenta de terceros o

ante una comunicación.

En el caso de la Universidad de La Rioja, respecto de los ficheros declarados

y de la mayoría de los que puedan encontrarse en sus equipos e instalaciones, es la

responsable del fichero, ya que es quien decide la finalidad del tratamiento y

recogida de los datos.

2.1.5 Comunicación de datos

Es la transmisión de los datos que operan en un fichero a un tercero,

diferente al Responsable del Fichero. Como regla general la comunicación a un

tercero se encuentra permitida siempre que se cumplan los requisitos que la ley

exige (artículo 11):



- Que los datos cedidos lo sean para el cumplimiento de finalidades

legitimas de cesionario y cedente. Por ejemplo, Universidades o

centros educativos o de estudios.

- Que exista consentimiento del interesado a esa cesión.

El requisito del consentimiento es prescindible, no obligatorio, en una serie

de supuestos, como cuando la cesión se autorice por ley, cuando los datos hayan

sido extraídos de fuentes de acceso público, cuando la cesión sea necesaria para la

prestación de un servicio aceptado por el afectado, cuando los datos sean remitidos

al Defensor del Pueblo, al Ministerio Fiscal, a los jueces o Tribunales o al Tribunal de

Cuentas, cuando los datos sean de salud y sea necesaria su comunicación en caso

de urgencia.

Existe otro supuesto en el que no es necesario el consentimiento y que tiene

especial importancia en el ámbito Universitario. Se trata de la cesión entre

Administraciones Públicas siempre que la comunicación tenga por objeto el

tratamiento histórico, estadístico o científico. Por ejemplo, una Universidad que pide

datos de las notas de los alumnos para realizar un estudio comparativo de

rendimiento.

2.1.6 Acceso por cuenta de terceros

El acceso a los datos, ya sea en las oficinas y locales del responsable, ya sea

mediante el envío al exterior de estas, ya sea telemáticamente, no será

considerado comunicación en los términos del artículo 11, si es necesario para la

prestación de un servicio al responsable del tratamiento.

En este caso será necesario tener un contrato con la persona que presta ese

servicio en el que se regulen una serie de cuestiones fijadas legalmente.

Un ejemplo es el uso de aplicaciones informáticas con entidades bancarias

que remiten los datos de la nómina a estas para que procedan a su abono a los

trabajadores. O las labores que realice una gestoría externa.

2.1.7 Encargado del tratamiento

Es la persona, física o jurídica, autoridad pública, servicio o cualquier otro

organismo que, solo o conjuntamente con otros, trate datos personales por cuenta

del Responsable del Fichero.

Es la otra parte en la relación regulada para el acceso por cuenta de tercero

(artículo 12).



2.1.8 Afectado o Interesado

Es la persona física, titular de los datos que sean objeto de tratamiento.

Como ya se ha expuesto, solo las personas físicas pueden ser titulares de

derecho a la intimidad y, consecuentemente, ser protegidas.

Otro apunte importante es el de las personas fallecidas. Si el derecho a la

privacidad o a la denominada “libertad informática” desaparece con la persona o se

mantiene tras su desaparición. Es la Ley Orgánica 1/1982, de 5 de mayo, de

protección civil del derecho al honor, a la intimidad personal y familiar y a la propia

imagen la que regula los aspectos relativos a la intimidad personal y habilita para la

defensa de los mismos a los designados por el causante. Por lo tanto el afectado, a

efectos de la LOPD, deja de serlo una vez fallecido. O, en sentido contrario, solo las

personas vivas pueden ser “afectados” o “interesados” en los términos de la LOPD.

2.1.9 Consentimiento

Es la manifestación de voluntad, libre, inequívoca, específica e informada,

mediante la que el interesado consiente el tratamiento de datos personales que le

conciernen.

El consentimiento es uno de los requisitos esenciales en la protección de los

datos de carácter personal, que se relaciona con el derecho a la autodeterminación

informativa. Derecho reconocido por el Tribunal Constitucional, en sentencias como

la núm. 290/2000.

El consentimiento supone la aceptación del interesado del destino dado a sus

datos y de los medios empleados para ello, y, sin el cual, se entendería vulnerado

su derecho a la intimidad en condiciones normales.

Respecto del consentimiento se verá con mayor profundidad al hablar de los

principios informadores en la materia.

2.1.10 Procedimiento de Disociación

Supone aplicar un tratamiento a la información de manera que los datos

obtenidos no puedan asociarse a persona identificable o identificada.

Los procedimientos de disociación permiten excepcionar algunos apartados

del régimen general de protección de datos, como por ejemplo la necesidad de

contar con el consentimiento del titular en el caso de comunicaciones de datos a

terceros, e incluso sin necesidad de que los datos sean cedidos en cumplimiento de

funciones propias de cedente y cesionario (artículo 11.6).



Resulta una figura muy útil, por ejemplo, a la hora de realizar envíos de

información a terceras entidades.

2.1.11 Fuentes accesibles al público.

Son ficheros cuya consulta puede ser realizada, por cualquier persona, no

impedida por una norma limitativa o sin más exigencias que, en su caso, el abono

de una contraprestación.

Se da un listado exclusivo de las que se consideran fuentes de acceso

público. Este listado es exclusivo y excluyente, es decir, todas aquellas otras que no

sean las recogidas en este listado no serán consideradas fuentes de acceso público

y por lo tanto no gozarán del especial régimen de los datos extraídos de las mismas.

- El censo promocional.

- Los repertorios telefónicos.

- Listados de personas pertenecientes a colegios profesionales. (Sólo

los datos de nombre, título, profesión, actividad, grado académico,

dirección e indicación de su pertenencia).

- Los Diarios y Boletines Oficiales.

- Los medios de comunicación.

Respecto de estos últimos se han planteado discrepancias sobre la

consideración de internet como medio de comunicación. La Agencia Española de

Protección de Datos, en su Memoria del año 2000, ya resolvió la cuestión

argumentado que:

“No se considera que la procedencia de los datos recogidos en

Internet sea la de fuente accesible al público, siendo necesario,

por lo tanto, la obtención del consentimiento inequívoco,

específico e informado del afectado para realizar tratamientos

con sus datos personales publicados en Internet, aunque éstos se

hayan publicado de forma que cualquier internauta pueda

acceder a los mismos.”

Por lo tanto, con base en el principio de prudencia es recomendable seguir el

consejo de la Agencia Española de Protección de Datos y se recogen datos a través

del uso de herramientas en internet, no ampararse en el permisivo régimen de la

recogida de fuentes de acceso público para justificarlo.



Cierto es que esta afirmación se ha venido matizando, sobre todo a raíz de

la masiva incorporación de medios de comunicación tradicionales a internet y la

apertura de canales propios de difusión de sus contenidos, que si permiten

entonces la extracción de los datos desde estos medios en internet.

2.2 Principios Rectores en la materia.

2.2.1 El principio de calidad de los datos o de equilibrio.

Bajo el epígrafe de la norma, el artículo 4, cuyo título es calidad de los datos

se ponen de manifiesto los principios que se deben observar en el tratamiento de

los mismos, englobados dentro de esa calificación de principio de calidad de los

datos pero diferenciables en otros principios.

Viene recogido en el artículo 4.1 de la LOPD. Los datos de carácter personal

sólo se podrán recoger para su tratamiento, así como someterlos a dicho

tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el

ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan

obtenido.

Establece una serie de requisitos importantes a la hora de definir que datos

se piden a los titulares, ya que la petición debe ir relacionada con los fines

pretendidos con la recogida y el tratamiento.

Es importante ponderar bien los datos solicitados en la recogida ya que

deben ser adecuados, pertinentes y no excesivos. Por ejemplo, para la solicitud de

una inscripción en una actividad, como un congreso dentro de la Universidad,

puede considerarse no pertinente o no adecuado que se deba declarar el nivel de

renta económica de la persona, en cambio, pueden darse otras situaciones como la

solicitud de una beca o similares que si requieran tal información.

Lo anterior debe ponerse en relación con las obligaciones dispuestas en el

propio artículo 4.5, respecto de la cancelación de los datos cuando estos dejen de

ser necesarios o pertinentes para el cumplimiento de las finalidades que motivaron

su recogida y de la prohibición de conservación en forma que permita la

identificación del interesado por un periodo superior al necesario para el

cumplimiento de los fines declarados. Esto se relaciona con el siguiente principio, el

de finalidad.

2.2.2 Principio de Finalidad

La ley, artículo 4.2, establece que los datos no pueden ser utilizados para

finalidades distintas a aquellas para los que fueron recabados. Se habla de



finalidades incompatibles, la LORTAD hablaba de finalidades distintas, lo que ha

supuesto un cambio cualitativo de importancia, toda vez que permite flexibilizar las

finalidades a la hora de crear el fichero y adaptar mejor este a las necesidades

reales transcurrido el tiempo.

Este cambio, aunque puede provocar cierta rebaja en la protección de los

derechos de los titulares se entendió que resultaba positivo a efectos de garantizar

una mejor protección general de los derechos.

Sin embargo, este cambio no a afectado a otros preceptos relacionados,

como el de las cesiones de datos, artículo 11, en el que se continua manteniendo

un lenguaje similar, los datos de carácter personal objeto del tratamiento sólo

podrán ser comunicados a un tercero para el cumplimiento de fines directamente

relacionados con las funciones legítimas del cedente y del cesionario. O incluso en

las infracciones, artículo 44.3, que sanciona la recogida de datos con finalidades

distintas a las que constituye la finalidad legítima.

Por su parte, la Agencia Española de Protección de Datos 8 , en su

interpretación de la sentencia del Tribunal Constitucional núm. 292/2000, ha

asimilado – equiparado - nuevamente el término “incompatibles” a “distintas”.

Existen varios casos sancionados por la Agencia o los Tribunales en los que

se ha multado por no respetar este principio de finalidad. A saber, en 1999 se inició

expediente contra la Generalidad Valenciana pues remitió el 15 de octubre de 1998

a 558.454 personas mayores de 65 años, residentes en la Comunidad Valenciana,

una invitación para asistir a la gran fiesta de la tercera edad, utilizando para ello los

ficheros de la Consellería de Bienestar Social.

En el año 2000, la sanción se propuso para la Agencia Estatal de

Administración Tributaria, por utilizar para fines distintos de los tributarios los datos

personales de un contribuyente, con objeto de notificar asuntos laborales a otra

persona, conculcándose con ello el principio de finalidad.

8 Resolución de la Agencia R 0516/2003. Las “finalidades” a las que alude este apartado 2 han de ligarse o conectarse siempre con el principio de pertinencia o limitación en la recogida de datos regulado en el artículo 4.1 de la misma Ley. Conforme a dicho precepto los datos sólo podrán tratarse cuando “sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.” En consecuencia, si el tratamiento del dato ha de ser “pertinente” al fin perseguido y la finalidad ha de estar “determinada”, difícilmente se puede encontrar un uso del dato para una finalidad “distinta” sin incurrir en la prohibición del artículo 4.2 aunque emplee el término “incompatible”. A esta conclusión parece llegar también el propio Tribunal Constitucional, aunque sea de manera indirecta, cuando en su Sentencia núm. 292/2000, de 30 de noviembre, establece: “ el derecho a consentir la recogida y tratamiento de los datos personales no implica en modo alguno consentir la cesión de tales datos a terceros... Y, por tanto, la cesión de los mismos a un tercero para proceder a un tratamiento con fines distintos de los que originaron su recogida, aun cuando puedan ser compatibles con éstos supone una nueva posesión y uso que requiere el consentimiento del interesado.”



Existen sentencias en este sentido, de cierta repercusión social, como la del

Tribunal Superior de Justicia de Madrid, de 15 de junio de 2000, contra un

videoclub que remitió a un cliente información sobre películas para adultos

entendiendo que en el momento de la recogida de los datos la finalidad de la misma

era gestionar su suscripción y no recibir publicidad sobre películas. La multa fue de

10 millones de pesetas.

Respecto del uso de finalidades incompatibles, existen otras resoluciones de

la Agencia Española de Protección de Datos interesantes, como la que se impuso al

Ayuntamiento de Catarroja (Valencia) que cuando nacía un nuevo vecino en el

pueblo remitía una carta a los padres felicitándoles y otra a los mayores de edad

cuando alcanzaban la misma, informándoles de los contenidos de la página web

municipal, a partir de los datos obtenidos del padrón municipal.

En el ámbito universitario es importante reseñar que no se considerarán, en

ningún caso, como incompatibles el tratamiento de los datos con fines históricos,

estadísticos o científicos.

2.2.3 Principio de actualidad o exactitud

Los datos personales incorporados a un fichero han de responder a una

situación actual, han de ser exactos.

Los datos personales han de ser modificados y rectificados por el

responsable del fichero desde el momento en que conoce la modificación.

Sin duda esta es una de las circunstancias que mayores problemas crea en

los Responsables del Fichero toda vez que en ocasiones es imposible conocer la

situación de los datos respecto de su titular, su exactitud, se entiende. La

interpretación correcta pasa por considerar que los datos aportados, por ejemplo en

una matricula, son correctos y actuales, y es responsabilidad de quien los aporta

que así sea, sin que sea imputable a la Administración la existencia de una

discrepancia en los mismos, todo ello obviamente, guiado por el principio de la

buena fe.

Sin embargo, si la persona comunica el cambio de la situación de los datos y

no se establece un mecanismo adecuado de actualización pueden producirse

comunicaciones utilizando datos no actualizados y contraviniendo lo dispuesto en

este principio. El tener múltiples ficheros con informaciones duplicadas, por ejemplo,

varios ficheros con datos de alumnos en diferentes departamentos o servicios,

puede provocar descoordinaciones importantes que den lugar a problemas de este

tipo.



2.3 Principio de información

Cuando se recojan datos de carácter personal ha de informarse al afectado

de la existencia de un fichero, de la finalidad de la recogida, de los destinatarios de

los mismos y de los datos necesarios para poder ejercer sus derechos.

Es sin duda uno de los principios esenciales en la LOPD. Se debe informar

siempre, como regla general, al titular de las situaciones por las que atraviesan sus

datos, con independencia de la necesidad o no de consentimiento que se encuentra

más limitada.

El derecho a la autodeterminación informativa que supone que el titular

pueda decidir sobre el destino de sus datos exige que exista la información que

permita, precisamente, la toma de decisiones en cualquier sentido.

No puede hablarse de derecho a la intimidad, el derecho fundamental

protegido por todo este elenco de normas, si no existe la información suficiente

sobre los posibles riesgos a que puede verse sometido el mismo.

Es importante asegurarse de que todos los formularios utilizados para la

recogida de datos incorporan cláusulas informando de las menciones que se

dispone en el artículo 5 de la LOPD, a saber:

- La existencia de un fichero o tratamiento para esos datos, la

finalidad de la recogida y los destinatarios de la misma.

- El carácter obligatorio o no de las preguntas planteadas.

- De las consecuencias de la obtención de los datos o de la negativa

a proporcionarlos.

- De la posibilidad de ejercitar los derechos legalmente reconocidos.

- De la identidad del Responsable del tratamiento.

El principio de información, además, exige que ésta, la información, ha de

ser previa a la recogida de los datos. Antes de la consignación de los mismos los

titulares han de poder conocer estos extremos.

Las cláusulas que se redacten con el contenido obligado por el artículo 5

tienen que cumplir tres requisitos fundamentales para que se considere cumplido el

contenido del principio:

- Se debe informar expresamente. Las cláusulas deberán ir dirigidas

a quien consigne los datos. No nominalmente, se entiende, pero si

teniendo en mente a las personas como colectivo de las que se

quieren obtener los datos.



- La información será precisa. No se admiten errores, como por

ejemplo respecto del nombre del Responsable del Fichero o

Tratamiento.

- Y se deberá informar inequívocamente. Utilizando conceptos que no

conduzcan a ningún tipo de error y sean de fácil comprensión.

Pero todo esto no se refiere sólo a los datos a través de formularios o

procedimientos prefijados de recogida de datos, si no que estas obligaciones,

derivadas del principio de información, deben cumplirse incluso cuando la

información suministrada se realiza oralmente o sin formularios específicos.

Por ello y a efectos de evitar posibles problemas derivados de un inadecuado

cumplimiento de este principio es recomendable que todas las recogidas de datos

se realicen mediante el empleo de formularios prefijados y convenientemente

adaptados a las disposiciones de la LOPD.

Este principio opera incluso cuando no es el titular quien proporciona los

datos. Cuando se reciben datos de carácter personal provenientes de terceras

personas, y por lo tanto no recogidos directamente por el personal al servicio del

Responsable del Fichero, esta obligación de informar persiste, y deberá hacerse

efectiva igualmente dentro de los tres meses al registro de los datos.

Esto último se excepciona en varios supuestos como el caso de que los datos

hayan sido obtenidos y que sean obtenidos para su posterior tratamiento con fines

históricos, científicos o estadísticos, así como cuando los datos procedan de fuentes

accesibles al público y se destinen a actividades publicitarias.

2.4 Principio de consentimiento:

El tratamiento de los datos requiere el consentimiento inequívoco (tácito o

expreso) del afectado. Esta es al regla general que debe cumplirse si bien existen

algunas excepciones a este principio general.

El consentimiento ha de ser inequívoco y esto se relaciona con el principio de

información, y las reglas respecto a la claridad que debe concurrir en la información.

Para poder entregar el consentimiento este ha de ser informado, ha de

reunir los suficientes elementos de información para que no quepan dudas de que

el titular de los datos consiente en su tratamiento o recogida, y por lo tanto que

este es inequívoco.

Llegado a este punto es lógico plantarse la necesidad de que ese

consentimiento sea recogido de manera expresa o es admisible un consentimiento



tácito. La Agencia Española de Protección de Datos en su Memoria del año 2000

dejó claro su opinión sobre la admisibilidad, y requisitos para la misma, del

consentimiento tácito.

“Se ha planteado si el consentimiento al que se refieren diversos

preceptos de la Ley Orgánica 15/1999 puede ser tácito o si, en

todos los supuestos, deberá el mismo manifestarse de forma

expresa. El artículo 3.h) de la Ley Orgánica 15/1999 define que el

consentimiento del interesado como "toda manifestación de

voluntad, libre, inequívoca, específica e informada, mediante la

que el interesado consienta el tratamiento de datos personales

que le conciernen.", de lo cual se desprende la necesaria

concurrencia para que el consentimiento pueda ser considerado

conforme a derecho de los cuatro requisitos enumerados en dicho

precepto. Un adecuado análisis del concepto exigirá poner de

manifiesto cuál es a juicio de esta Agencia la interpretación que

ha de darse a estas cuatro notas características del

consentimiento, siguiendo a tal efecto los criterios sentados en

las diversas recomendaciones emitidas por el Comité de Ministros

del Consejo de Europa en relación con la materia que nos ocupa.

A la luz de dichas recomendaciones, el consentimiento habrá de

ser:

a) Libre, lo que supone que el mismo deberá haber sido

obtenido sin la intervención de vicio alguno del consentimiento en

los términos regulados por el Código Civil.

b) Específico, es decir referido a una determinada

operación de tratamiento y para una finalidad determinada,

explícita y legítima del responsable del tratamiento, tal y como

impone el artículo 4.2 de la Ley Orgánica 15/1999.

c) Informado, es decir que el afectado conozca con

anterioridad al tratamiento la existencia del mismo y las

finalidades para las que el mismo se produce. Precisamente por

ello el artículo 5.1 de la Ley Orgánica impone el deber de

informar a los interesados de una serie de extremos que en el

mismo se contienen.

d) Inequívoco, lo que implica que no resulta admisible

deducir el consentimiento de los meros actos realizados por el

afectado (consentimiento presunto), siendo preciso que exista



expresamente una acción u omisión que implique la existencia

del consentimiento.

De lo que se ha indicado se desprende que de las

características del consentimiento no se infiere necesariamente

su carácter expreso en todo caso, razón por la cual en aquellos

supuestos en que el legislador ha pretendido que el

consentimiento deba revestir ese carácter, lo ha indicado

expresamente; así sucede en el caso de el tratamiento de datos

especialmente protegidos indicando el artículo 7.2 la necesidad

de consentimiento expreso y escrito para el tratamiento de los

datos de ideología, religión, creencias y afiliación sindical, y el

artículo 7.3 la necesidad de consentimiento expreso aunque no

necesariamente escrito para el tratamiento de los datos

relacionados con la salud, el origen racial y la vida sexual.

Por tanto, el consentimiento podrá ser tácito, en el

tratamiento de datos que no sean especialmente protegidos

(artículo 7.2 y 7.3 de la Ley Orgánica 15/1999), si bien para que

ese consentimiento tácito pueda ser considerado inequívoco será

preciso otorgar al afectado un plazo prudencial para que pueda

claramente tener conocimiento de que su omisión de oponerse al

tratamiento implica un consentimiento al mismo.”

De acuerdo al principio de autodeterminación informativa, el

consentimiento podrá ser revocado. El problema es que la norma exige una causa

justa para ello. Sin embargo, esto parece chocar con el derecho a la cancelación de

los datos y el propio derecho a la autodeterminación informativa.

Al igual que con el principio de información, es recomendable procurar

obtener siempre mediante el uso de formularios el consentimiento del afectado a

pesar de no ser este siempre exigible, especialmente en el caso de una

Administración Pública, como una Universidad, en que no es necesario el

consentimiento cuando los datos se recojan para funciones propias o en el ámbito

de sus competencias y cuando se refieran a las partes de una relación contractual,

de cualquier tipo como la administrativa en las matrículas universitarias.

En estos supuestos se permite que el titular pueda oponerse al tratamiento

cuando existan motivos que justifiquen su oposición.

Dado que como se ha dicho el consentimiento puede ser necesario para la

recogida y tratamiento de determinados datos, y dado el contenido del artículo 16.2

de la Constitución española que establece que:



“Nadie podrá ser obligado a declarar sobre su ideología, religión o

creencias.”

Será necesario concretar de manera adecuada las finalidades de la recogida,

así como los formularios o instrumentos para la misma, pues precisamente son

algunos de los tipos de datos sobre los que recae dicha obligación de prestar

consentimiento expreso y por escrito, y que además será obligatorio informar al

titular de la no obligación de informar sobre estos extremos.

Puede darse el caso también del consentimiento otorgado por menores de

edad y su validez como, por ejemplo, en matriculas de personas que cumplen la

mayoría de edad con posterioridad a la fecha de ingreso, etc. La Agencia Española

de Protección de Datos, en su Memoria del año 2000, estableció que:

“[…] la minoría de edad no supone una causa de incapacitación

(de las reguladas en el artículo 200 del Código Civil), por lo que

aquélla habrá de ser analizada en cada caso concreto a los

efectos de calificar la suficiencia en la prestación del

consentimiento en atención a la trascendencia del acto de

disposición y a la madurez del disponente. A mayor

abundamiento, y en lo referente a la prestación del

consentimiento para la cesión, debe recordarse que, conforme

dispone el artículo 4.3 de la Ley Orgánica 1/1996, de 15 de enero,

de Protección Jurídica del Menor, "se considera intromisión

ilegítima en el derecho al honor, a la intimidad personal y familiar

y a la propia imagen del menor, cualquier utilización de su

imagen o su nombre en los medios de comunicación que pueda

implicar menoscabo de su honra o reputación, o que sea

contraria a sus intereses incluso si consta el consentimiento del

menor o de sus representantes legales". Del tenor de esta

disposición se deriva la posibilidad de que haya sido el propio

menor quien, por sí mismo, haya prestado su consentimiento a la

utilización de su propia imagen, sin precisar para ello la

asistencia de su representante legal, lo que no hace sino ahondar

en la conclusión ya referida anteriormente, a partir de lo

dispuesto en el artículo 162 del Código Civil. En consecuencia, a

tenor de las normas referidas, cabe considerar que los mayores

de catorce años disponen de las condiciones de madurez precisas

para consentir, por sí mismo, el tratamiento automatizado de sus

datos de carácter personal.”



3 Tipología

3.1 Datos Básicos

Existen diferentes tipos de datos en atención a su nivel de compromiso con

la intimidad de la persona y el potencial peligro que para ésta puede suponer su

utilización.

El RMS, artículos 3 y 4, establece la diferente tipología de los datos, de

acuerdo con los niveles de seguridad en él contemplados.

Así, los datos de nivel básico son aquellos que no se encuentren dentro del

resto de las categorías determinadas, nivel medio y nivel avanzado. Se definen por

exclusión.

Ejemplos son el nombre, apellidos, la dirección, el teléfono, etc.

3.2 Datos Especialmente Protegidos

La LOPD, en su artículo 7, recoge lo que denomina datos especialmente

protegidos. Son informaciones referidas a aquellas materias antes mencionadas

de datos que gozan en nuestra Constitución de un estatus especial. Así dentro de

esta categoría califica a los datos sobre ideología, religión o creencias. También son

datos especialmente protegidos aquellos que hagan referencia al origen racial, a la

salud o a la vida sexual de las personas.

Todos estos datos son calificados en el RMS como datos de nivel alto, ya que

las medidas que deben protegerlos deben ser las correspondientes a este nivel en

el propio RMS

El RMS en su artículo 4.2 establece, además, una especial categoría de datos,

de tipo intermedio, cuyo tratamiento es exclusivo de Administraciones Públicas,

LOPD, artículo 7.5.

Esta inclusión en el apartado 5º justifica la existencia de esta otra categoría,

a la que son aplicables las medidas de seguridad de tipo medio y se califican de

esta manera, datos de nivel medio.

3.2.1 Datos de Ideología.

Respecto de los datos de ideología se han relacionado con los datos de

afiliación sindical y los problemas y obligaciones que pueden darse en relación a los

mismos.

Los datos de ideología suelen ir referidos a partidos políticos y similares,

siendo bastante infrecuentes en otros ámbitos.



3.2.2 Afiliación sindical

La LOPD, artículo 7.2, recoge estos datos como especialmente protegidos, lo

que supone una novedad respecto de la LORTAD, motivada por la Directiva 95/46.

También influyeron las sentencias del Tribunal Constitucional núm. 11/1998, de 13

de enero y núm. 94/1998, de 4 de mayo, sobre el uso dado por empresarios a los

datos de afiliación sindical de los trabajadores con motivo de una huelga.

Los empresarios condenados utilizaron los datos de afiliación sindical para

detraer una parte del salario a los trabajadores que manifestaron estar afiliados al

sindicato convocante de la misma, sin averiguar si los mismos acudieron

efectivamente a su puesto de trabajo.

Hay varias resoluciones de la Agencia Española de Protección de Datos, ya

que desde el principio ha sido este uno de los temas que mayores controversias ha

suscitado, y en particular se recogen varias cuestiones en la memoria del año

1996.9

CESIONES DE DATOS DE LA EMPRESA A LOS SINDICATOS:

“Como ya hemos dicho, el artículo 11 de la Ley Orgánica exige

con carácter general la necesidad del consentimiento del afectado

para las cesiones, salvo que la cesión esté prevista por una ley.

En este sentido, en el artículo 11 de la Ley Orgánica de Libertad

Sindical se prevé tan sólo que el empresario proceda al

descuento de la cuota sindical sobre los salarios y a la

9 Por ejemplo: CESIÓN DEL CENSO DE AFILIADOS PARA ELECCIONES DENTRO DEL PROPIO SINDICATO. Se plantea a la Agencia de Protección de Datos la legalidad de ceder el censo de afiliados con derecho a voto a los candidatos en las elecciones internas de una organización sindical. El artículo 11 de la Ley Orgánica determina que para proceder a la cesión de datos de carácter personal, será necesario con carácter general bien el consentimiento del afectado, salvo que exista una ley que prevea otra cosa, o se trate de una de las excepciones previstas en el propio artículo. En principio, no parecen existir previsiones legales a este respecto, por lo que la cesión a los candidatos del censo de afiliados sólo sería posible en la medida en que estuviera previsto en los Estatutos del Sindicato, dado que al incorporarse a un sindicato se estaría prestando el consentimiento a las normas de funcionamiento del mismo. CESIÓN DE LOS DATOS DE TRABAJADORES A UN SINDICATO QUE OSTENTA LA CONDICIÓN DE MAYOR REPRESENTATIVIDAD EN UNA COMUNIDAD AUTÓNOMA. Un sindicato pregunta sobre la legalidad de obtener datos personales recogidos en los Organismos Públicos del Instituto Nacional de la Seguridad Social, la Tesorería General, el INEM, la Dirección Provincial de Trabajo, Inspección de Trabajo, MUFACE, ya sea por vía de soporte informatizado, como por conexión informática directa. En concreto se solicitan los siguientes datos: 1) Relación de las empresas y número de inscripción patronal que operen en un determinado sector productivo. 2) Relación de DNI de todos los trabajadores y números de inscripción a la Seguridad Social, que consten en alta. 3) Situación legal de desempleo, incapacidad laboral transitoria, invalidez, condición de autónomo o por cuenta ajena, o cualquier otra situación análoga en que se puedan hallar los trabajadores anteriormente citados. El sindicato solicitante considera que su condición de mayor representatividad y el papel que la Constitución reconoce a los sindicatos, les habilita para obtener los datos referidos de las Administraciones Públicas. La cesión de los datos que se solicita estaría amparada en dos normas con rango de Ley, a saber, el Estatuto de los Trabajadores y la Ley Orgánica de libertad sindical, y en el propio carácter público de alguno de los datos. Sin embargo, no hay que olvidar que el artículo 4 de la Ley establece con carácter general que los datos habrán de ser adecuados, pertinentes y no excesivos, y que La Ley Orgánica vincula los datos a la finalidad para la que se obtuvieron, no pudiendo emplearse para fines distintos. La interpretación conjunta de todos estos antecedentes exige que la petición se realizará para un fin concreto y especificado, no pudiendo realizarse peticiones masivas que excederían de los principios generales de nuestra ley orgánica.



correspondiente transferencia a solicitud del sindicato del

trabajador afiliado, y previa conformidad siempre de éste, por lo

que la cesión de datos por parte del empresario se circunscribe,

exclusivamente, a los datos estrictamente necesarios para

cumplir la obligación de pagar la cuota. Para los datos que

excedan del cumplimiento de la misma será necesario además el

consentimiento del trabajador así como la conformidad del

empresario.”

Otro caso que puede plantearse en la Universidad de La Rioja:

CESIÓN DE DATOS DE UN ORGANISMO PÚBLICO A LOS

REPRESENTANTES SINDICALES, RELATIVOS AL PERSONAL DEL

MISMO: “A las Administraciones Públicas, en concreto, les será

de aplicación la Ley 9/1987 de 12 de junio de los órganos de

representación, determinación de las condiciones de trabajo y

Participación del Personal al Servicio de las Administraciones

Públicas, que determina qué información de carácter personal

debe cederse a los sindicatos. Así, en el artículo 9, apartado 3, a)

se declara su derecho a ser informados de las sanciones

impuestas por faltas muy graves, y en el apartado 4, c), a tener

conocimiento y ser oídos en cuanto a las cantidades que perciba

cada funcionario por complemento de productividad. Por otra

parte, la normativa de elecciones a los órganos de representación

del personal al servicio de las Administraciones Públicas de la Ley

9/87 de 12 de junio, en la última redacción del artículo 13

establece que:

"Las organizaciones sindicales con capacidad para

promover elecciones sindicales tendrán derecho a que la

Administración Pública correspondiente les suministre el censo de

personal funcionario de las unidades electorales afectadas,

distribuido por Organismos o centros de trabajo, con el fin de que

puedan llevar a cabo tal promoción en los respectivos ámbitos".

La Ley 2/1991, de 7 de enero, sobre derechos de información de

los representantes de los trabajadores en materia de contratación,

establece en el artículo primero, la obligación por parte del

empresario de entregar a la representación legal de los

trabajadores una copia básica de todos los contratos que deban

celebrarse por escrito, a excepción de los contratos de relación

laboral especial de alta dirección, sobre los que se establece el



deber de notificación a la representación legal de los trabajadores.

Con el fin de comprobar la adecuación del contenido del contrato

a la legalidad vigente, esta copia básica contendrá todos los

datos del contrato, a excepción del número del D.N.I., el

domicilio, el estado civil y cualquier otro que, de acuerdo con la

Ley Orgánica 1/1982 de 5 de mayo, pudiera afectar a la

intimidad personal. Tanto los representantes de la Administración

como los representantes de las organizaciones sindicales y de las

asociaciones que tengan acceso a la copia básica observarán

sigilo profesional, no pudiendo utilizar dicha documentación para

fines distintos de los que motivaron su conocimiento. Por último,

el artículo 11 de la Ley Orgánica de Libertad Sindical, prevé tan

sólo que el empresario, o en su caso la Administración, proceda

al descuento de la cuota sindical sobre los salarios y a la

correspondiente transferencia a solicitud del sindicato del

trabajador afiliado, y previa conformidad siempre de éste, por lo

que la cesión de datos por parte del empresario se circunscribe,

exclusivamente, a los datos estrictamente necesarios para

cumplir la obligación de pagar la cuota, y para los datos que

excedan del cumplimiento de la misma, será necesario además el

consentimiento del trabajador y la conformidad del empresario.

El conjunto de preceptos y principios citados determina que la

cesión deberá ampararse en este caso en normas con rango de

Ley, que caso por caso, podrán prever la cesión de modo

individualizado y concreto, por lo que la solicitud planteada

(relaciones nominales de personal que presta sus servicios en la

misma, puestos de trabajo que ocupan, vínculo jurídico que

mantienen con la Administración, antigüedad y carácter

provisional o definitivo de la cobertura de las plazas), carece en

principio de una habilitación legal concreta.”

En la Memoria de la Agencia Española de Protección de Datos del año 2000,

se incorporaron otras resoluciones sobre el mismo tema, de especial importancia

dado que ya incorporan la reciente LOPD y la importantísima sentencia del Tribunal

Constitucional núm. 292/2000.

CESIÓN A LOS REPRESENTANTES SINDICALES DE LOS

TRABAJADORES: “Se ha planteado reiteradamente por distintas

Administraciones Públicas si es posible la cesión a los integrantes

de la Junta de Personal de una relación de funcionarios, en la que



se incluirán determinados datos de carácter personal referentes a

los mismos. Teniendo en cuenta lo indicado en la Sentencia del

Tribunal Constitucional 292/2000 de 30 de noviembre, analizada

en otro lugar de esta memoria, la cesión de datos por parte de

las Administraciones Públicas (salvo cuando el cesionario sea otra

Administración y la transmisión se funde en el ejercicio de una

misma competencia) se encuentra sometida al principio de

reserva de Ley, por lo que es necesario delimitar si en este caso

existe una Ley habilitante. En este sentido, el artículo 9 de la Ley

9/1987, reguladora de los Órganos de Representación y

Condiciones de Trabajo y Participación del Personal al Servicio de

las Administraciones Públicas enumera las funciones atribuidas a

las Juntas de Personal, incluyéndose entre las mismas, no sólo la

recepción de información, sino también "vigilar el cumplimiento

de las normas vigentes en materia de condiciones de trabajo,

seguridad social y empleo, y ejercer, en su caso, las acciones

legales oportunas ante los organismos competentes" (artículo

9.6) y "vigilar y controlar las condiciones de seguridad e higiene

en el desarrollo del trabajo" (artículo 9.7). Por su parte, el

artículo 15.3 de la Ley 30/1984, de 2 de agosto, de Medidas para

la Reforma de la Función Pública, establece el carácter público de

las Relaciones de Puestos de Trabajo, si bien las mismas, no

contendrán, a la vista del contenido exigido por el artículo 15.1

b), los datos del personal concreto que ocupe un determinado

puesto de trabajo, sino exclusivamente las características de

cada uno de los puestos de trabajo existentes en cada

dependencia Administrativa, siendo los datos personales referidos

a cada funcionario público, de acceso restringido a éste último, a

tenor de lo dispuesto en el artículo 13.5, párrafo segundo de la

propia Ley 30/1984. Se hace preciso, en consecuencia,

cohonestar las atribuciones conferidas a las Juntas de Personal en

la Ley 9/1987 con la protección otorgada a los datos

automatizados de carácter personal, regulada en la Ley Orgánica

15/1999, y con los límites previstos en el artículo 21 para la

posible cesión de esos datos. Pues bien, según el criterio de la

Agencia la función de vigilancia y protección de las condiciones de

trabajo, atribuida a las Juntas de Personal por la Ley 9/1987

puede llevarse a adecuado desarrollo sin necesidad de proceder a



una cesión masiva de los datos referentes al personal que presta

sus servicios en el Órgano o Dependencia correspondiente. Sólo

en el supuesto en que la vigilancia o control se refieran a un

sujeto concreto, que haya planteado.”

3.2.3 Religión y Creencias:

En el ámbito educativo se han declarado ficheros que contienen datos sobre

religión y creencias en tanto que algunas asignaturas con estos contenidos pueden

formar parte del currículo escolar, lo que permite agrupar los alumnos por su

orientación religiosa o no.

Sin embargo, a al vista de estas notificaciones, y alguna consulta practicada,

la Agencia Española de Protección de Datos en su Memoria del año 2002, aclaró la

situación respecto de este tipo de datos y su nivel de consideración y protección:

NATURALEZA DEL DATO DE OPCIÓN POR LA ASIGNATURA DE

RELIGIÓN: “Se ha formulado una consulta cuestionando si el

dato relativo al hecho de que un determinado alumno de un

centro docente opte por cursar la asignatura de religión o la

alternativa prevista por la Ley ha de ser considerado como dato

especialmente protegido a los efectos previstos en la LOPD.

Como punto de partida, el artículo 7.2 de la Ley Orgánica

15/1999 dispone que «sólo con el consentimiento expreso y por

escrito del afectado podrán ser objeto de tratamiento los datos

de carácter personal que revelen la ideología, afiliación sindical,

religión y creencias», prohibiendo el artículo 7.4 «los ficheros

creados con la finalidad exclusiva de almacenar datos de carácter

personal que revelen la ideología, afiliación sindical, religión,

creencias, origen racial o étnico, o vida sexual». Estas

previsiones deben ponerse en conexión con lo establecido en el

artículo 7.1 de la Ley Orgánica, a cuyo tenor «nadie podrá ser

obligado a declarar sobre su ideología, religión o creencias».

Dicho precepto es una mera reproducción de lo establecido, a su

vez, en el artículo 16.2 de la Constitución. De este modo, ha de

considerarse que los datos a los que se refiere el artículo 7.2 de

la Ley Orgánica 15/1999 son aquéllos que efectivamente se

encuentran directamente vinculados con las creencias religiosas,

filosóficas, políticas o morales de la persona, protegidas

constitucionalmente a través del derecho fundamental a la

libertad ideológica, religiosa y de culto, consagrado por el artículo



16.1 de la Constitución. Sentados así los términos de

interpretación de lo establecido en el artículo 7.2 de la Ley

Orgánica 15/1999, debe ahora plantearse si el hecho de cursar la

asignatura de religión, o el hecho de no cursarla, suponen la

revelación de un dato protegido por el citado derecho

fundamental, que coadyuva a la especial protección que también

confiere la LOPD, es decir, si ese dato revela efectivamente las

convicciones religiosas de la persona a la que se refiere. Pues

bien, el hecho mismo de cursar la asignatura de religión no

revela necesariamente que el estudiante profese las creencias a

las que tal asignatura se refiere, del mismo modo que el hecho

de no cursarla no revela la inexistencia de esas creencias, sino

que tal circunstancia puede deberse al estudio de la religión en

otros foros distintos del escolar. Es decir, a nuestro juicio, lo

único que revela el dato de optar por cursar la asignatura de

religión sería el interés del alumno por conocer los principios,

historia y preceptos de la misma, sin que ello implique una

efectiva confesionalidad del mismo, a cuya declaración no podría

encontrarse obligado. Por este motivo, el dato relacionado con el

hecho de que el alumno curse la asignatura de religión, no

vinculada a la participación del alumno en un rito relacionado con

una religión determinada (lo que sí implicaría que el individuo

profesa dicha creencia religiosa), no puede ser considerado por sí

mismo un dato que revele inmediatamente las creencias

religiosas del afectado, por lo que su régimen no se encuentra

sometido a lo establecido en las normas que se citaron

anteriormente, dado que el dato no tendría la naturaleza de

especialmente protegido.”

Así, por ejemplo, en el caso de la Universidad de La Rioja, en la que es

posible cursar una asignatura de Religión, como optativa o libre elección para varias

titulaciones, ello no supone la necesidad de declarar el fichero de los alumnos como

de nivel alto por ese motivo.

3.2.4 Origen Racial

Estos datos harán relación al origen de la persona, país de procedencia,

nacionalidad o, incluso, el estar enmarcado en un determinado grupo en función de

sus rasgos genéticos.



En entornos académicos pueden encontrarse datos de origen racial

motivados por la necesidad de realizar estudios e investigaciones científicas con

personas de diferentes razas y composición genética o morfológica por lo que

pueden encontrarse en la necesidad de tratar estos datos con el fin de realizar

estudios adecuados.

Además, en la Universidad de La Rioja se realizan ciertas labores de

colaboración con organizaciones que ayudan a personas provenientes de otras

culturas o países y en los que se puedan tratar los datos de este tipo.

3.2.5 Datos de Salud.

La definición de datos de salud debe buscarse en la Memoria Explicativa del

Convenio 108 del Consejo de Europa y en la Recomendación R (97) 5 del Comité de

Ministros del Consejo de Europa.

Para el citado convenio, en su aparatado 45, son datos de salud:

“las informaciones concernientes a la salud, pasada, presente o

futura, física o mental de un individuo de buena salud, enfermo o

fallecido” y añade que “estos datos comprenderán también

informaciones relativas al abuso del alcohol y al consumo de

drogas”.

Por su parte la Recomendación R (97) 5, establece que:

“la expresión datos médicos hace referencia a todos los datos de

carácter personal relativos a la salud de una persona. Afecta

igualmente a los datos manifiesta y estrechamente relacionados

con la salud, así como con las informaciones genéticas”10.

Respecto de los datos de salud, en el ámbito académico pueden darse casos

de personas con deficiencias que acudan a la universidad o se realicen actividades

específicas.

También están los supuestos de reconocimientos médicos al personal al

servicio de la administración, como cualquier otro empleado de una empresa, en

virtud del cumplimiento de una normativa concreta, la Ley de Prevención de

Riesgos Laborales.

La Agencia Española de Protección de Datos, en su Informe 434/2004 ha

tenido ocasión de pronunciarse sobre este extremo de manera clara:

10 Sobre los datos de salud, puede consultarse la Memoria de la Agencia Española de Protección de Datos del año 2003.



TRATAMIENTO CONFORME A LA LEGISLACIÓN DE PREVENCIÓN

DE RIESGOS LABORALES:

La consulta plantea dudas sobre el consentimiento para el

tratamiento y cesión de datos personales y de salud de los

trabajadores derivadas de las acciones de vigilancia de la salud

efectuadas por la consultante en cumplimiento de lo dispuesto en

la Ley 31/1995, de 8 de noviembre, de Prevención de Riesgos

Laborales y su adecuación a lo dispuesto por la Ley Orgánica

15/1999, de 13 de diciembre, de Protección de datos de Carácter

Personal.

[…] En cumplimiento del deber de protección, la Ley

31/1995 establece como obligación de la empresa, la de

constituir un servicio de prevención que se responsabilice de las

actividades de prevención y protección de riesgos laborales. Para

la realización de dicha actividad deberá contar bien con un

servicio de prevención propio o contratar con un servicio de

prevención ajeno debidamente acreditado (artículo 14.2).

Atendiendo a lo que acabamos de indicar y en relación con

el acceso a determinados datos de carácter personal de los

trabajadores por parte de los Delegados de Prevención, de cara a

la aplicación de la normativa sobre protección de datos de

carácter personal, constituye en principio un supuesto de cesión

de datos.

Con carácter general puede señalarse que la cesión o

comunicación de datos, considerada conforme al artículo 3 i) de

la Ley 15/1999 como “Toda revelación de datos realizada a una

persona distinta del interesado” se regula con carácter general en

el artículo 11.1 al disponer que “los datos de carácter personal

objeto del tratamiento sólo podrán ser comunicados a un tercero

para el cumplimiento de fines directamente relacionados con las

funciones legítimas del cedente y del cesionario con el previo

consentimiento del interesado”. Este consentimiento sólo se verá

exceptuado en los supuestos contemplados en el artículo 11.2,

cuyo apartado a) prevé la posible cesión inconsentida de los

datos cuando una norma con rango de Ley así lo disponga.

En este sentido, el artículo 30.3 de la Ley 31/1995 señala

que “Para la realización de la actividad de prevención, el

empresario deberá facilitar a los trabajadores designados el



acceso a la información y documentación a que se refieren los

artículos 18 y 23 de la presente Ley”.

A su vez, el artículo 23 señala, “1. El empresario deberá

elaborar y conservar a disposición de la autoridad laboral la

siguiente documentación relativa a las obligaciones establecidas

en los artículos anteriores:

a) Plan de prevención de riesgos laborales, conforme a lo

previsto en el apartado 1 del artículo 16 de esta Ley

b) Evaluación de los riesgos para la seguridad y la salud

en el trabajo, incluido el resultado de los controles periódicos de

las condiciones de trabajo y de la actividad de los trabajadores,

de acuerdo con lo dispuesto en el párrafo a) del apartado 2 del

artículo 16 de esta Ley.

c) Planificación de la actividad preventiva, incluidas las

medidas de protección y de prevención a adoptar y, en su caso,

material de protección que deba utilizarse, de conformidad con el

párrafo b) del apartado 2 del artículo 16 de esta Ley.

d) Práctica de los controles del estado de salud de los

trabajadores previstos en el artículo 22 de esta Ley y

conclusiones obtenidas de los mismos en los términos recogidos

en el último párrafo del apartado 4 del citado artículo.

e) Relación de accidentes de trabajo y enfermedades

profesionales que hayan causado al trabajador una incapacidad

laboral superior a un día de trabajo. En estos casos el empresario

realizará, además, la notificación a que se refiere el apartado 3

del presente artículo.

2. En el momento de cesación de su actividad, las

empresas deberán remitir a la autoridad laboral la documentación

señalada en el apartado anterior.

3. El empresario estará obligado a notificar por escrito a la

autoridad laboral los daños para la salud de los trabajadores a su

servicio que se hubieran producido con motivo del desarrollo de

su trabajo, conforme al procedimiento que se determine

reglamentariamente.

4. La documentación a que se hace referencia en el

presente artículo deberá también ser puesta a disposición de las

autoridades sanitarias al objeto de que éstas puedan cumplir con



lo dispuesto en el artículo 10 de la presente Ley y en el artículo

21 de la Ley 14/1986, de 25 de abril General de Sanidad.”

Esto se corrobora atendiendo a lo dispuesto en el artículo

7 del Reglamento de los servicios de prevención de riesgos

laborales aprobado por Real Decreto 39/1997, de 17 de enero,

que concreta la obligación prevista en el artículo 23 que se citaba

al establecer que “En la documentación a que hace referencia el

párrafo a) del apartado 1 del artículo 23 de la Ley de Prevención

de Riesgos Laborales deberán reflejarse, para cada puesto de

trabajo cuya evaluación ponga de manifiesto la necesidad de

tomar alguna medida preventiva, los siguientes datos:

a) La identificación del puesto de trabajo.

b) El riesgo o riesgos existentes y la relación de

trabajadores afectados.

c) El resultado de la evaluación y las medidas preventivas

procedentes, teniendo en cuenta lo establecido en el artículo 3.

d) La referencia de los criterios y procedimientos de

evaluación y de los métodos de medición, análisis o ensayo

utilizados, en los casos en que sea de aplicación lo dispuesto en

el apartado 3 del artículo 5.”

Como conclusión de lo hasta ahora expuesto, existirá una

habilitación legal para la cesión de datos de los trabajadores

afectados sin su consentimiento, sólo en el supuesto del

cumplimiento de las obligaciones establecidas en el párrafo a) del

apartado 1 del artículo 23 de la Ley 31/1995.

En lo que se refiere a la cesión de los datos de salud de

los trabajadores a los Delegados de Prevención, debemos señalar

que, estos datos, dentro de los de carácter personal, tienen un

régimen jurídico especial de protección. Ello tiene reflejo en el

artículo 7. 3 de la Ley Orgánica 15/1999, de 13 de diciembre, de

Protección de datos de Carácter Persona, relativo a los datos

especialmente protegidos, que indica: “Los datos de carácter

personal que hagan referencia al origen racial, a la salud y a la

vida sexual sólo podrán ser recabados, tratados y cedidos cuando,

por razones de interés general, así lo disponga una Ley o el

afectado consienta expresamente”.



En este sentido, la Ley 31/1995 establece en su artículo

22, relativo a la obligación por parte del empresario de garantizar

la vigilancia de la salud a los trabajadores, lo siguiente:

“1. El empresario garantizará a los trabajadores a su

servicio la vigilancia periódica de su estado de salud en función

de los riesgos inherentes al trabajo.

Esta vigilancia sólo podrá llevarse a cabo cuando el

trabajador preste su consentimiento. De este carácter voluntario

sólo se exceptuarán, previo informe de los representantes de los

trabajadores, los supuestos en los que la realización de los

reconocimientos sea imprescindible para evaluar los efectos de

las condiciones de trabajo sobre la salud de los trabajadores o

para verificar si el estado de salud del trabajador puede constituir

un peligro para el mismo, para los demás trabajadores o para

otras personas relacionadas con la empresa o cuando así esté

establecido en una disposición legal en relación con la protección

de riesgos específicos y actividades de especial peligrosidad.

En todo caso se deberá optar por la realización de aquellos

reconocimientos o pruebas que causen las menores molestias al

trabajador y que sean proporcionales al riesgo.

2. Las medidas de vigilancia y control de la salud de los

trabajadores se llevarán a cabo respetando siempre el derecho a

la intimidad y a la dignidad de la persona del trabajador y la

confidencialidad de toda la información relacionada con su estado

de salud.

3. Los resultados de la vigilancia a que se refiere el

apartado anterior serán comunicados a los trabajadores

afectados.

4. Los datos relativos a la vigilancia de la salud de los

trabajadores no podrán ser usados con fines discriminatorios ni

en perjuicio del trabajador.

El acceso a la información médica de carácter personal se

limitará al personal médico y a las autoridades sanitarias que

lleven a cabo la vigilancia de la salud de los trabajadores, sin que

pueda facilitarse al empresario o a otras personas sin

consentimiento expreso del trabajador.

No obstante lo anterior, el empresario y las personas u

órganos con responsabilidades en materia de prevención serán



informados de las conclusiones que se deriven de los

reconocimientos efectuados en relación con la aptitud del

trabajador para el desempeño del puesto de trabajo o con la

necesidad de introducir o mejorar las medidas de protección y

prevención, a fin de que puedan desarrollar correctamente sus

funciones en materia preventiva.

5. En los supuestos en que la naturaleza de los riesgos

inherentes al trabajo lo haga necesario, el derecho de los

trabajadores a la vigilancia periódica de su estado de salud

deberá ser prolongado más allá de la finalización de la relación

laboral, en los términos que reglamentariamente se determinen.

6. Las medidas de vigilancia y control de la salud de los

trabajadores se llevarán a cabo por personal sanitario con

competencia técnica, formación y capacidad acreditada”.

Este régimen legal específico del tratamiento de la salud

en el ámbito laboral se establece expresamente el carácter

voluntario de las actividades de control periódico de la salud de

los trabajadores (con la única excepción contemplada en el

apartado primero del artículo trascrito), estableciendo también de

forma expresa, la obligación de respeto a la intimidad de los

trabajadores y de la confidencialidad de los datos.

En consecuencia el acceso por parte de los servicios de

prevención de riesgos laborales al historial médico como

consecuencia de los reconocimientos médicos realizados a los

trabajadores deberá limitarse a las previsiones del artículo 24.4

que se citaba. En este sentido, se prohíbe la transmisión de la

información médica obtenida al amparo de lo dispuesto en la Ley

de Prevención de Riesgos Laborales a cualquier tercero distinto

del “personal médico y a las autoridades sanitarias que lleven a

cabo la vigilancia de la salud de los trabajadores”, con la única

excepción de las conclusiones derivadas de dicho seguimiento en

cuanto a la aptitud de los trabajadores (artículo 22.4, párrafo

tercero).

De lo establecido en los preceptos que han venido

transcribiéndose se desprende la existencia de determinados

supuestos en que la realización de actuaciones de vigilancia de la

salud viene derivada directamente de lo establecido en la propia

Ley de Previsión de Riesgos Laborales, de forma que el



sometimiento a dichas acciones resulta obligatorio para el

trabajador, que no puede oponerse a la realización de la acción

de vigilancia.

Al propio tiempo, de lo establecido en el párrafo segundo

del artículo 22.4 de la Ley se deriva el derecho del personal

sanitario que realice las acciones de vigilancia de la salud al

conocimiento de la información médica que se derive de la misma.

En este sentido, dicha información compondrá, según dispone la

propia Ley, el historial clínico laboral del trabajador, debiendo

tenerse en cuenta que, en cuanto historia clínica, la misma se

sometería a lo establecido en la Ley 41/2002, de 14 de

noviembre, que impone la llevanza de la misma a los centros

sanitarios o profesionales que realicen las actuaciones sanitarias

en relación con el paciente, en este caso el trabajador que se

somete a las pruebas que implican la realización de acciones de

vigilancia de la salud.

Además, el empresario está obligado, según dispone el ya

citado artículo 23.1 d) de la Ley 31/1995 a “elaborar y conservar

a disposición de la autoridad laboral” la documentación relativa a

la “Práctica de los controles del estado de salud de los

trabajadores previstos en el artículo 22 de esta Ley y

conclusiones obtenidas de los mismos en los términos recogidos

en el último párrafo del apartado 4 del citado artículo”.

Quiere todo lo que se ha venido indicando decir que el

tratamiento de los datos relacionados con la salud de los

trabajadores no requerirá el consentimiento de los mismos en

aquellos supuestos en que el sometimiento a las actuaciones de

vigilancia de la salud resulte impuesto directamente por la propia

Ley de Prevención de Riesgos Laborales, dado que en ese

supuesto el trabajador deberá someterse a las pruebas y el

servicio de prevención estará obligado legalmente al tratamiento

de los datos resultantes de las mismas, así como en aquellos

casos en que el trabajador acceda voluntariamente a la

realización de las acciones, dada la obligación del servicio de

llevanza de la historia clínico laboral de dichos trabajadores.

Por este motivo, una vez prestado el consentimiento del

trabajador para el sometimiento a las acciones de vigilancia de la

salud, en caso de que las mismas sean voluntarias, en virtud de



lo dispuesto en el párrafo segundo del artículo 22.1 de la Ley

31/1995 o en el supuesto en que el trabajador haya de

someterse obligatoriamente a dichas acciones, no será preciso

exigir un consentimiento adicional del mismo para el tratamiento

de sus datos de salud, ya que dicho tratamiento deriva

directamente de lo establecido en la propia Ley 31/1995 y en la

Ley 41/2002.

Ello no obsta, sin embargo, que deba darse cumplimiento

al deber de información al afectado, previsto en el artículo 5.1 de

la Ley Orgánica 15/1999.

3.2.6 Datos de Comisiones de Infracciones Penales y Administrativas

Los datos de Infracciones Administrativas sólo pueden ser recogidos y

tratados por las Administraciones Públicas competentes en los supuestos previstos

en su normativa, v. gr. la disciplinaria.

La Universidad de La Rioja tiene competencia para sancionar

administrativamente dentro del campus universitario y sancionar al personal a su

servicio, y por lo tanto puede tener en los ficheros de datos información sobre el

personal y posibles sanciones administrativas.

3.3 Ficheros de las Administraciones Públicas

3.3.1 La determinación del concepto Administración Pública

Se ha venido manteniendo en los apartados anteriores que la Universidad de

La Rioja se encuentra enmarcada, a efectos de la LOPD, en lo que ésta denomina

Administraciones Públicas. Sin embargo, hay que matizar algunos aspectos

respecto a cómo debe interpretarse este concepto dentro de la LOPD, en general,

para el resto de las Administraciones Públicas.

Todas las Universidades se rigen por la Ley Orgánica 6/2001, de 21 de

diciembre, de Universidades y por las normas que dicten el Estado y las

Comunidades Autónomas en el ejercicio de sus competencias. Las Universidades

Públicas se rigen, además, por su Ley de creación11 y por sus Estatutos12. Las

Universidades Privadas por las propias normas de organización y funcionamiento.

La jurisprudencia del Tribunal Supremo ha afirmado que las Universidades

Públicas son Entidades de Derecho Público cuyos actos son susceptibles de recurso

11 Ley de creación de la Universidad de La Rioja, Ley 17/1992, de 15 de Junio (BOE nº 147, 19 Junio y nº 158, 14 de Julio). 12 Aprobados por el Consejo de Gobierno de la Comunidad Autónoma de La Rioja, en su sesión del 26 de marzo de 2004



en vía contencioso-administrativa. Los Estatutos de las Universidades Públicas

reconocen esta naturaleza jurídico-pública.

Pero también debe tenerse en cuenta que no cabe postular un único

concepto de Administración Pública a efectos de determinar el ámbito de aplicación

de la normativa sobre protección de datos a los sujetos públicos. En otras palabras,

no puede mantenerse la existencia de un sólo concepto de Administración Pública

en relación con todas las instituciones que regula la LOPD, hasta el punto de que el

concepto Administración Pública —o de fichero de titularidad pública— no va a ser

el mismo en el ámbito de la cesión, del consentimiento o de la publicación y

notificación de la disposición general, que en relación, por ejemplo, al régimen de

responsabilidad civil derivada de los daños que se ocasionen como consecuencia de

tratamientos de datos personales o al régimen de responsabilidad administrativa.

Habrá que diferenciar cuando los datos respondan a las finalidades propias

de la Administración o ente encargado de su tratamiento o que estas sean de tipo

privado, sin relación directa con la finalidad administrativa.

3.3.2 La obligatoriedad de disposición general para la creación del fichero

Según dispone el artículo 20 LOPD, “la creación, modificación o supresión de

los ficheros de las Administraciones Públicas sólo podrán hacerse por medio de

disposición general publicada en el «Boletín Oficial del Estado» o Diario oficial

correspondiente”, disposición en la que habrá de indicarse la finalidad del fichero y

los usos previstos, los sujetos sobre los que pretendan obtener datos, el

procedimiento de recogida, la estructura básica del fichero y la descripción de los

tipos de datos que incluirá, las cesiones de datos que se prevean, los órganos de

las Administraciones responsables del fichero, los servicios o unidades ante los que

se podrá ejercer los derechos inherentes a la titularidad de los datos y, finalmente,

las medidas de seguridad a adoptar.

En primer lugar, debe destacarse la exigencia de que sea una disposición

normativa de carácter general la que autorice la creación, modificación o supresión

del fichero, de manera que no bastaría únicamente con el recurso a un mero acto

administrativo de carácter general. En consecuencia, al margen de los supuestos en

que ésta decisión se adopte por el legislador, sólo aquellos órganos públicos que

tengan atribuida la potestad reglamentaria pueden autorizar cualquiera de las

operaciones referidas en relación con los ficheros de titularidad pública. En

consecuencia, en el ámbito de la Universidad la decisión de crear, modificar y

suprimir ficheros con datos de carácter personal ha de entenderse como una



competencia exclusiva del Excmo. Sr. Rector Magnífico, debiendo dicha

disposición ser publicada en el Boletín Oficial.

Una referencia específica merece la exigencia relativa a la determinación

por parte de la disposición general de cuál ha de ser la finalidad del fichero y los

usos previstos para el mismo, con lo que, en definitiva, se pretende garantizar la

prohibición del artículo 4.2 LOPD acerca del uso de los datos para fines

incompatibles con los que justificaron su recogida en atención a las restricciones y

limitaciones que, desde la perspectiva de los derechos del titular, rigen respecto de

los ficheros públicos.

Se trata por tanto de un elemento esencial ya que permite controlar el uso

ilegítimo de los datos personales así como la cesión de los mismos entre las

Administraciones Públicas más allá del supuesto de la identidad material y

competencial que expresamente requiere el artículo 21 de la LOPD.

3.3.3 Las cesiones de datos entre administraciones

La cesión de datos personales entre Administraciones Públicas se regula,

fundamentalmente, en el artículo 21 LOPD, el cual, a sensu contrario, dispone en su

apartado primero la posibilidad de que se produzca cesión de datos personales

entre Administraciones Públicas sin consentimiento del interesado cuando se trate

del ejercicio de la misma competencia (artículo 21.4), por ejemplo, la cesión de

datos entre universidades públicas para traslado de expedientes o de competencias

distintas que versen sobre la misma materia, como por ejemplo los datos cedidos

periódicamente por una universidad pública a la consejería de educación

correspondiente o cuando el destino de los datos comunicados sea su tratamiento

con fines históricos, estadísticos o científicos.

En el apartado segundo se permite igualmente este tipo de cesión en las

mismas condiciones cuando se trate de datos personales que una Administración

Pública recabe con destino a otra.

Como es sabido, la sentencia del Tribunal Constitucional núm. 292/2000,

de 30 de noviembre, declaró inconstitucional un importante inciso de la Ley que

preveía la posibilidad de estas cesiones ínter-administrativas fuera del primero de

los supuestos cuando así lo hubiera previsto la disposición de creación del fichero o

disposición de superior rango que regule su uso.

El Tribunal Constitucional entendió que la previsión de una norma

reglamentaria no constituía garantía suficiente para el derecho a la protección de

los datos personales. Ahora bien, como el art. 21 LOPD tiene rango de ley



ordinaria13, una norma de este tipo puede excepcionar el régimen de cesión ínter-

administrativa de datos, estableciendo la posibilidad de cesión fuera de los

supuestos aquí relacionados.

Asimismo, la excepción que permite la comunicación ínter-administrativa de

datos personales se aplica al supuesto de que la comunicación tenga por objeto el

tratamiento de datos con fines históricos, estadísticos o científicos (artículo 21.1),

medida en consonancia con la norma de compatibilidad que, respecto a la calidad

de los datos, contiene la propia LOPD, artículo 4.2, dado el específico interés

general implícito en estos fines.

Al margen de este último supuesto conviene precisar los contornos del

supuesto de hecho previsto en la regla general del art. 21 LOPD, a fin de delimitar

la aplicación de la prohibición que contiene. En primer lugar, aunque la nueva

regulación no ha zanjado expresamente la cuestión relativa a si la cesión de datos

personales puede hacerse ad intra en el ámbito de cada Administración pública o,

por el contrario, se refiere únicamente a la comunicación administrativa en el plano

entre Administraciones públicas, parece evidente que el precepto legal permite la

cesión interna siempre que se respete el principio de finalidad que el artículo 4

puntos 1 y 2 de la LOPD garantiza.

Asimismo, el artículo 21.2 de la LOPD contempla otro supuesto de cesión

ínter-administrativa de datos personales sin consentimiento de su titular, para el

caso de que los mismos sean obtenidos o elaborados con la finalidad específica de

remitirlos a otra Administración Pública. En la medida que supone una excepción de

la principal de las facultades reconocidas al ciudadano en la materia, esta

habilitación debe interpretarse en sentido estricto y considerar que únicamente

cabe el trasvase dirigido a la Administración que, en principio, sea destinataria de

los datos, individualización que ha de recogerse específicamente en la disposición

de creación del fichero correspondiente de conformidad con la exigencia prevista en

la LOPD, artículo 20.2.a), de que requiere la constancia de la finalidad del fichero y

los usos previstos.

De conformidad con lo dispuesto en la LOPD, artículo 21.3, la cesión de

datos desde una Administración Pública a una persona privada requerirá

como regla general el consentimiento del afectado, salvo que hayan sido tomados

de fuentes accesibles al público, en cuyo caso también será posible la autorización

legal de la cesión. De esta manera se configura un régimen más estricto para las

13 La Disposición Final segunda de la LOPD (“Preceptos con carácter de Ley ordinaria”) establece que: «Los Títulos IV, VI excepto el último inciso del párrafo 4 del art. 36 y VII de la presente Ley, la disposición adicional cuarta, la disposición transitoria primera y la final primera tienen el carácter de Ley ordinaria.», el mencionado precepto se encuentra en el Título IV, por lo que tiene rango de ley ordinaria.



Administraciones Públicas, por cuanto la comunicación entre personas privadas de

estos mismos datos de carácter público no requiere el consentimiento de sus

titulares, diferencia plenamente justificada por cuanto entre las funciones propias

de las Administraciones Públicas no puede entenderse incluida el comercio con

datos personales.

3.3.4 El acceso por cuenta de terceros al tratamiento de datos de las Administraciones Públicas

El recurso por parte de las distintas Administraciones Públicas a modalidades

de gestión indirecta de muchos servicios públicos hace necesaria la disponibilidad y

utilización de datos personales de los ciudadanos, obrantes en poder de la

Administración contratante titular del servicio, por parte del gestor privado.

En otras ocasiones la relación contractual entre la Administración y el

contratista no consiste en la gestión de un servicio público a los ciudadanos sino en

la realización de un servicio directo a la Administración, lo que determina algunas

variaciones en su disciplina y en su articulación con el tratamiento de los datos

personales.

Como modo de disciplinar éstos y otros supuestos análogos que pueden

producirse igualmente en el ámbito de las relaciones particulares, la LOPD ha

previsto una figura contractual complementaria a través de la cual se pretende huir

del generoso régimen de utilización de los datos que se deriva de una mera cesión,

LOPD artículos 11 y 21.3, institución cuyo empleo por parte de la Administración

Pública queda sometida, por tanto, a la necesaria concurrencia del consentimiento

del interesado salvo que exista una previsión legal en contrario, de modo que, a

través de una serie de garantías, se permita a un sujeto que presta un servicio, ya

sea directa o indirectamente, al responsable del tratamiento (en nuestro caso una

Administración Pública), acceder a los datos personales en poder de éste y

someterlos a ciertas operaciones sin necesidad de que concurra el consentimiento

de los afectados.

Lo primero que cabe decir es que la técnica del acceso por cuenta de

terceros se articula a través de un verdadero contrato (así se desprende de la

LOPD, artículo 12.2), por medio del cual se condicionan por el responsable del

tratamiento los usos a que se someterán los datos personales por parte del que la

LOPD denomina encargado del tratamiento, artículos 3 g y 12.

Puesto que el acceso por cuenta de terceros no está sometido a la necesidad

de consentimiento de los afectados, estos condicionamientos contractuales al uso

de los datos están ineludiblemente vinculados a la prestación de un servicio que sea



instrumental y necesario para la satisfacción o realización de los usos preferentes

para los cuales el responsable recabó originariamente los datos o para cuyo uso fue

autorizado.

Se trata, en definitiva, de proporcionar una garantía legal a los afectados de

que sus datos personales no serán utilizados para ninguna finalidad que no sea la

inicialmente establecida y declarada por el sujeto público responsable del fichero, lo

que justifica precisamente la innecesariedad del consentimiento.

Todo ello diferencia este instrumento de la mera cesión de los datos, que es

una técnica sometida a fuertes garantías previas de verificación, pero en cuya

virtud se adquieren los datos personales sin ninguna limitación previa a su uso,

salvo, lógicamente, las que puedan derivarse de la normativa general sobre

protección de datos, LOPD artículo 11.5.

Una de las principales cuestiones prácticas que plantea el acceso por cuenta

de terceros en el ámbito administrativo se refiere al régimen de responsabilidad

aplicable en materia sancionadora, cuestión de gran trascendencia dado el

diferente sistema sancionador existente para las Administraciones públicas y los

ciudadanos. Dado que las operaciones de tratamiento son desarrolladas

exclusivamente por parte del contratista será éste quien responda por cualquier

incumplimiento contractual y, en general, por cualquier conducta que se encuentre

tipificada en la LOPD como infracción administrativa.

No obstante, a la Administración le serán lógicamente imputables todas

aquellas conductas en que puede incurrir en tanto que responsable del tratamiento:

desatención de solicitudes de ejercicio de los derechos, ausencia de disposición

general publicada de creación del fichero, omisión de los deberes de información…

3.3.5 El derecho a la información y el régimen excepcional para los ficheros de las Administraciones Públicas

Por lo que se refiere al ámbito de los ficheros de titularidad pública merece

una especial consideración la excepción al principio del consentimiento

establecida en la LOPD, artículo 6.2, en virtud de la cual no se precisará dicho

requisito cuando se trate de la recogida de datos personales “para el ejercicio de las

funciones propias de las Administraciones Públicas en el ámbito de sus

competencias” y cuando se refieran “a las partes de [...] una relación

administrativa”.

La posibilidad de recogida de los datos personales sin contar con la

conformidad del afectado debe ser igualmente deslindada de los supuestos que la



propia LOPD establece respecto a la cesión ínter administrativa sin su

consentimiento. En efecto, el artículo 6.2 únicamente reconoce la posibilidad de

recogida sin consentimiento cuando sea la propia Administración destinataria de los

datos quien realice dicha tarea, dado que la obtención o elaboración de los mismos

por una Administración Pública con destino a otra se encuentra sometida a un

régimen peculiar recogido en el artículo 21 LOPD.

La debilidad de la posición jurídica que ocupa el ciudadano frente a la

recogida y tratamiento forzosos de sus datos personales ha de ser matizada, no

obstante, mediante el reforzamiento del derecho de información con el fin de

que, en la medida de lo posible, aquél conozca cuáles obran en poder de la

Administración y cuándo son objeto de cesión, de manera que pueda ejercer con

efectividad el resto de derechos que le asisten y, en especial, los de rectificación y

cancelación. Desde este planteamiento ha de resaltarse la trascendencia del artículo

5 de la LOPD, por cuanto establece que el interesado debe ser informado de los

datos relativos a su persona, no sólo en el caso de recabar personalmente del

mismo los datos sino aún en el de obtenerlos de otras fuentes distintas del propio

afectado.

El derecho de información del interesado en los supuestos de recogida

directa de los datos puede venir, sin embargo, desvirtuado o debilitado ante la

excepción recogida en la LOPD, artículo 5.3, al establecer el precepto que no será

necesaria la información a que se refieren los apartados b), c) y d) del artículo 5.1

en el caso de que se deduzca claramente de su contenido la naturaleza de los datos

personales que se solicitan o de las circunstancias en que se recaben.

El derecho de información del interesado respecto a los datos personales

que no sean solicitados o recabados del mismo también se ve exceptuado en los

supuestos que el artículo 5.5 establece, esto es, aquellos casos en que una ley lo

prevea expresamente, si el tratamiento de los datos tiene fines históricos,

estadísticos o científicos y, asimismo, cuando sea imposible efectuar la información

al interesado.

A estos supuestos reglados de excepción se añade otro de carácter

excepcional: que la Agencia de Protección de Datos considere que el cumplimiento

del deber de informar al interesado que incumbe al responsable exija “esfuerzos

desproporcionados […] en consideración al número de interesados, a la antigüedad

de los datos y a las posibles medidas compensatorias”.

3.4 Deber de Secreto y Confidencialidad



La LOPD, artículo 10 consagra el deber de secreto, que obliga tanto al

Responsable del Fichero como al resto de los intervinientes en cualquier fase del

tratamiento, desde el momento de su recogida hasta el de su destrucción.

Amparando la extensión del mismo por lo tanto no solo al responsable del

fichero, ya que este puede poner todas las medidas para evitar o controlar la salida

de datos o la vulneración del deber de secreto, pero es materialmente imposible

impedir que una persona determinada que trabaja bajo sus órdenes con esos datos

los utilice en vulneración del deber de secreto. Por ejemplo, un funcionario de la

Universidad que dice a un padre las notas de su hijo a través del acceso al

expediente del mismo.

Incluso una vez abandonadas las responsabilidades y labores al servicio del

Responsable del Fichero, persiste este deber de secreto respecto de los datos

conocidos en el desempeño de su labor. Así lo deja claro la Agencia de Protección

de Datos, en su Memoria de 2002:

La vulneración del deber de secreto puede ser constitutiva de

infracción leve en materia de protección de datos. Si la

información revelada se refiriese a datos relativos a la comisión

de infracciones administrativas o penales, Hacienda Pública,

servicios financieros y aquellos ficheros cuyo funcionamiento se

rija por el articulo 29 de la Ley Orgánica 15/1999, la infracción

será de carácter grave y, finalmente, si se revelase información

que contuviera datos de ideología, religión, creencias, origen

racial, salud o vida sexual así como datos recabados para fines

policiales sin consentimiento de las personas afectadas, la

infracción será de carácter muy grave.

4 Derechos de los titulares

4.1 Acceso

4.1.1 Normativa básica

El derecho de acceso a los datos en general, y en particular de la

Administración, viene regulado por la LOPD, artículo 15, y reconoce al interesado el

derecho a acceder gratuitamente a la información relativa a la existencia de

tratamientos de datos personales, sus finalidades y la identidad del responsable del

tratamiento mediante la consulta del Registro General de Protección de Datos. El



desarrollo del ejercicio de este derecho se encuentra regulado en el Real Decreto

1332/1994.

Pero en el ámbito administrativo, como el de la Universidad, nos

encontramos con otro derecho de acceso a los datos e informaciones con un

contenido más amplio y que incluso puede afectar a la intimidad de personas,

titulares, diferentes a la persona que ejerce el derecho de acceso.

Es el supuesto del derecho de acceso a los expedientes

administrativos. El derecho de los ciudadanos a acceder a los archivos y registros

administrativos encuentra su reconocimiento fundamental y primario en la

Constitución de 1978, cuyo artículo 105 dispone que la Ley regulará:

b) El acceso de los ciudadanos a los archivos y registros

administrativos, salvo en lo que afecte a la seguridad y defensa

del Estado, la averiguación de los delitos y la intimidad de las

personas.

Se trata por tanto, al igual que sucede con el artículo 18.4 de la Carta

Magna, de un derecho cuya configuración el constituyente remite en gran parte al

legislador futuro.

En este sentido, el derecho de acceso a los archivos y registros

administrativos ha sido desarrollado en diversas normas. La principal de ellas,

aunque no la primera, es la Ley 30/1992, de 26 de noviembre, de Régimen

Jurídico de las Administraciones Públicas y del Procedimiento

Administrativo Común (LRJPAC) que, por ser la norma configuradora del estatuto

ordinario de los ciudadanos frente a las Administraciones Públicas.

La LRJPAC regula este derecho en su artículo 37, aunque el mismo ya se

encuentra enunciado entre los derechos de los ciudadanos en el artículo 35, letra h)

LRJPAC. Igualmente, el artículo 35, letra a), reconoce el derecho de los interesados

en el procedimiento administrativo en tramitación a acceder al expediente y

obtener copia de los documentos que allí se contengan.

4.1.2 Titulares del Derecho

Aunque en principio el derecho se reconoce a todos los ciudadanos, sin más

requisitos de legitimación, lo cierto es que se trata de una mera apariencia.

Se debe ser titular de datos que obren en poder de la Administración para

poder solicitar el acceso a los mismos. Respecto del acceso al expediente goza de

un régimen diferente, que dependerá de la materia y de la posibilidad, habilitada



legalmente, de que terceros interesados o la existencia de acción popular, soliciten

acceso a los datos de un expediente.

4.1.3 Objeto del derecho

El derecho viene consagrado respecto de los registros y los documentos que

obren en los archivos y que, formando parte de un expediente, correspondan a

procedimientos ya terminados en la fecha de solicitud de acceso, LRJPAC, artículo

37.1.

La limitación del derecho de acceso a los documentos contenidos en

expedientes ya terminados ha sido considerada por algún autor como amputación

de un derecho constitucional protegido por los artículos 105, letra b) y 20 de la

Constitución. No obstante, debe tenerse en cuenta que los principios de

transparencia y participación que se desprenden del artículo 105 Constitución,

presuponen la titularidad por el ciudadano que ejercita el derecho concreto de un

interés legítimo. Así pues, mientras el procedimiento se encuentra en curso, lo que

sí parece razonable es que sólo puedan acceder a los documentos obrantes en el

expediente los sujetos que aparezcan como interesados en el mismo, artículos 31 y

35 letra a), LRJPAC.

4.1.4 Procedimiento para el ejercicio

El Real Decreto 1332/1994, desarrolla los aspectos complementarios para el

ejercicio de los derechos contemplados en la LOPD, contiene las reglas para su

ejercicio efectivo en lo que a los plazos, medios y requisitos formales se requiere.

Respecto del acceso, se ejercerá mediante petición o solicitud dirigida al

responsable del fichero, formulada por cualquier medio que garantice la

identificación del afectado y en la que conste el fichero o ficheros a consultar.

El acceso a la información ha de hacerse posible a través de alguno de los

siguientes medios:

- Visualización en pantalla

- Escrito, copia o fotocopia remitida por correo.

- Telecopia.

- O cualquier otro procedimiento que sea adecuado a la configuración

e implantación del fichero ofrecido por la organización.

El responsable del fichero resolverá entre la petición de acceso en el plazo

máximo de un mes, a contar de la recepción de la solicitud. Transcurrido este plazo



sin que de forma expresa se responda a la petición de acceso, éste podrá

entenderse desestimada a los efectos de la interposición de la reclamación prevista

en el artículo 18 de la LOPD.

Si la resolución fuera estimatoria, el acceso se hará efectivo en el plazo de

los diez días siguientes a la notificación de aquélla.

4.1.5 Límites

Los principales límites que establece el artículo 37 LJRPAC, vienen

relacionados con el derecho a la intimidad personal, así como la privacidad

frente al uso de la informática, cuestión esta última regulada en la LOPD y que

analizaremos seguidamente.

El artículo 37.2 LRJPAC reserva exclusivamente a los afectados el acceso a

los documentos que contengan datos referentes a la intimidad de las personas, las

cuales podrán exigir que sean rectificados o completados, salvo que los mismos

figuren en expedientes caducados por el transcurso del tiempo.

De modo que ni siquiera mediando consentimiento del afectado es posible

acceder a esta documentación.

El derecho de acceso no podrá ser ejercitado a intervalos inferiores a 12

meses, excepto que acredite un interés legítimo para ejercitarlo con anterioridad.

Respecto de la LOPD. Sin embargo, sobre el acceso a los expedientes

administrativo ese plazo no es operativo, surgiendo así un aparente conflicto de

normas.

En el ámbito del ejercicio del derecho de acceso es característica la

presencia de tensiones entre posiciones jurídicas subjetivas, que son objeto de

protección por el ordenamiento jurídico y de las que surgen conflictos que es

necesario solventar a favor de unas u otras. Es precisamente en el marco de la

limitación del derecho de acceso en relación con los documentos que contengan

datos relativos a la intimidad de las personas en el que se pueden dar estos

conflictos. Y el conflicto en este ámbito se plantea desde un doble orden de

consideraciones:

4.1.5.1 Datos relativos a la intimidad

En primer lugar, se plantea la permanente discusión sobre lo que son datos

relativos a la intimidad de las personas, lo cual no deja de suscitar vivo interés

dado que la intimidad se configura como derecho fundamental en los artículos 18.1

y 20.4 de la Constitución. Así, la Sentencia del Tribunal Constitucional núm.

209/1988, de 10 de noviembre, ha afirmado que el derecho a la intimidad implica



“la existencia de un ámbito propio y reservado frente a la acción y el conocimiento

de los demás, necesario, según las pautas de nuestra cultura, para mantener una

calidad mínima de vida humana”.

4.1.5.2 Datos personales que no afectan a la intimidad

Si lo que acabamos de afirmar parece cierto y razonable, ya no lo parece

tanto que el derecho a la intimidad y la reserva, prevalezca siempre sobre el

ejercicio del derecho de acceso como instrumento para la consecución de otros

derechos frente a la actuación de la Administración Pública.

En efecto, en ocasiones, lo que se pretende no es acceder al Registro

Nacional de Títulos para saber, sin más, los méritos académicos de un sujeto, sino

acceder a documentos generados en el seno de un procedimiento administrativo en

los que constan total o parcialmente algunos de esos datos y respecto del cual el

sujeto es interesado, para poder defender sus posiciones jurídicas en dicho

procedimiento. El ejemplo típico se encuentra materializado en las repetidas

denegaciones de acceso en el seno de procedimientos de concurrencia competitiva

en materia de personal.

Por el contrario, el ejercicio del derecho de acceso por parte de interesados

en un procedimiento en curso no se encuentra sometido a los límites del artículo 37

LRJPAC, puesto que se trata de un derecho que no se encuentra recogido en dicho

precepto sino en el artículo 35 LRJPAC, de modo que difícilmente se le pueden

aplicar los referidos límites.

Debe tenerse en cuenta que el artículo 37.3 LRJPAC admite el acceso de

terceros que acrediten un interés legítimo y directo a los documentos nominativos

que no incluyan ningún otro dato relativo a la intimidad de las personas, cuando el

contenido de tales documentos pueda hacerse valer, por dichos terceros, para el

ejercicio de sus derechos.

Este precepto ha sido duramente criticado, dado que la mayor parte de los

documentos administrativos tiene carácter nominativo, con lo que se reduce

drásticamente el ámbito de ejercicio del derecho. Además, se trata del único

supuesto en que la LRJPAC exige la titularidad de un interés “directo” cuando se

trata ésta de una adjetivación del interés desterrada de nuestro ordenamiento tras

la promulgación de la Constitución. No cabe duda de que se trata de una norma

pensada como una barrera al ejercicio de la profesión periodística y al ejercicio del

derecho de acceso por parte de asociaciones que ostenten la representación o

defensa de intereses difusos.



4.1.6 Denegación del derecho

El derecho de acceso podrá ser denegado cuando no concurran en su

ejercicio los requisitos formales o materiales necesarios determinados por la norma.

Por ejemplo, se denegará el derecho de acceso cuando no se haya acreditado la

titularidad de los datos, por ejemplo no identificarse mediante el DNI o documento

equivalente.

Cuando se solicite un acceso a los datos sin en un periodo inferior a 12

meses desde el último acceso y no se especifiquen las causas que motiven la nueva

petición.

En el caso de acceso a datos obrantes en expedientes habrá de estarse a los

supuestos habilitantes del acceso, y verificar que se tiene un interés legítimo o se

reúnen las condiciones subjetivas para la solicitud.

4.1.7 La difusión de datos de las Administraciones Públicas a través de INTERNET

Como resulta conocido, con considerable frecuencia y para el cumplimiento

de sus legítimas funciones, las Administraciones Públicas disponen la difusión

pública, bien a través de exposiciones limitadas a tablones de anuncios o edictales

o bien mediante su inserción en periódicos o diarios oficiales, de gran cantidad de

datos personales de los ciudadanos.

Por ejemplo, las listas de admitidos a cualesquiera procedimientos de

concurrencia competitiva, publicación de calificaciones académicas y un largo

etcétera, cuyas funciones principales suelen concretarse en dos: mejor

conocimiento de la actuación administrativa concreta por parte de los afectados y

expresión del principio de transparencia.

En este sentido, se plantea la polémica posibilidad de que las

Administraciones Públicas puedan, en relación con ciertos procedimientos (en los

que existe una presencia masiva de interesados o en aquellos en los que la

notificación personal resultó infructuosa), sustituir, con idéntica validez jurídica,

la publicación oficial por otra a través de Internet. Se trata de una cuestión

de singular relevancia en el ámbito local puesto que con la utilización de

Internet se podría dar pleno cumplimiento al mandato legal del artículo 69 Ley de

Bases de Régimen Local de facilitar a los ciudadanos la más amplia información

sobre la actividad de la Corporación. Pues bien, en relación con esta cuestión se

suscitan varias dudas.



En primer lugar, un fenómeno similar al apenas enunciado consiste en que

la Administración Pública disponga una publicidad reforzada a través de Internet de

un acto administrativo sujeto a publicación en un boletín oficial. Piénsese en

listados de admitidos y excluidos en un procedimiento de acceso al empleo público.

En principio, nada impide, en nuestra opinión, la difusión electrónica de la

información.

Ahora bien, dado que se trata de una medida que incrementa

considerablemente la posibilidad de acopio y tratamiento de información personal,

esto es, se trataría de una cesión de datos personales en sentido técnico14, la

misma deberá estar habilitada en una norma con rango de Ley ex artículo 11.2 a

LOPD.

En este sentido, podría considerarse que, al menos en relación con los

procedimientos selectivos o de concurrencia competitiva, esta habilitación

legal se encuentra incluida en el artículo 59.6 letra b) LRJPAC, que señala que,

cuando se trate de actos integrantes de un procedimiento selectivo o de

concurrencia competitiva de cualquier tipo: la convocatoria del procedimiento

deberá indicar el tablón de anuncios o medios de comunicación donde se efectuarán

las sucesivas publicaciones, careciendo de validez las que se lleven a cabo en

lugares distintos.

Si, por el contrario, se estima que el mencionado precepto no alcanza a dar

cobertura a las publicaciones electrónicas, la inserción de dichos datos en Internet15

o bien sólo debe ponerse a disposición de los interesados a través de sistemas de

acreditación de la identidad, transformarse en información cualificada, o bien

requerirá inexcusablemente el consentimiento de los afectados, el cual podría

entenderse implícitamente prestado, por ejemplo, con la aceptación de las bases de

la convocatoria.

Asimismo, debe tenerse en cuenta que los datos personales publicados

a través de Internet en estos casos carecen de la consideración de fuentes

de acceso público, puesto que la relación de éstas que hace la LOPD es taxativa.

Así y al contrario de lo que sucede con la información personal aparecida en los

boletines oficiales, el tratamiento de estos datos no es posible sin consentimiento

del interesado, LOPD, artículo 6. No sucede lo mismo en relación con el

consentimiento para la cesión, puesto que sería absurdo: se trata de información

14 LOPD, artículo 3 i) define la cesión como “Toda revelación de datos realizada a una persona distinta del interesado”. 15 Sobre la publicación de Datos Personales en Internet de acuerdo con la Sentencia del Tribunal de Justicia de las Comunidades Europeas, de 6 de noviembre de 2003 (CASO LINDQVIST), la difusión de datos personales en una página web, de modo que dichos datos resulten accesibles a cualquier persona que se conecte a Internet, no constituye una transferencia internacional de datos.



personal presente en Internet. Ahora bien, el problema es el uso que se haga de

esos datos cedidos o presentes en Internet, puesto que la finalidad de su difusión

es, única y exclusivamente, dar publicidad a un procedimiento administrativo y ello

condiciona, obviamente, el uso posterior que se haga de esos datos.

Ciertamente, esta argumentación presenta excepciones. Así, cuando los

actos a publicitar no contengan datos personales (piénsese, por ejemplo, en una

convocatoria del tipo que sea), la exigencia de que sea una norma de rango legal la

que disponga la publicidad electrónica complementaria no rige. En este sentido ha

operado, por ejemplo, la Orden de la Consejería aragonesa de Presidencia y

Relaciones Institucionales de 16 de mayo de 1997, que ha exigido que la

información susceptible de utilización ciudadana sobre concursos públicos y

convocatorias de subvenciones, ayudas, becas y oposiciones, se publique

simultáneamente el mismo día en la versión oficial impresa y en Internet.

En segundo lugar, la sustitución de la publicación en boletines oficiales por

la difusión en Internet, a la que nos hemos referido, plantea otros problemas y

requiere un enfoque diverso. En efecto, cuando la Ley o la norma reguladora del

procedimiento de que se trate dispongan que la publicación de ciertos actos debe

realizarse en un boletín oficial, resulta elemental señalar que se está refiriendo

exclusivamente a la versión impresa del mismo.

Ello de por sí bastaría para desacreditar legalmente la opción de la

Administración Pública que previera una publicación electrónica sustitutiva de la

convencional. Ahora bien, no sólo la Administración Pública no puede, al margen de

las normas reguladoras del procedimiento, disponer una publicación sustitutiva en

Internet, sino que tal posibilidad debe venir habilitada forzosamente por una norma

con rango de Ley. En efecto, la imposición del uso de medios informáticos o

telemáticos en las relaciones entre Administraciones Públicas y ciudadanos es

legítima si viene declarada por una norma con rango de Ley, aunque se trate de

habilitaciones legales genéricas.

Esta misma línea interpretativa parece ser la seguida ya por algunas

Administraciones Públicas. En tal sentido se pronuncia el artículo 7.3 del Decreto

andaluz 183/2003, de 24 de junio, que regula la información y atención al

ciudadano y la tramitación de procedimientos administrativos por medios

electrónicos (Internet), que señala que La difusión de información o documentación

por redes abiertas de telecomunicación no eximirá del deber de publicar en los

diarios oficiales correspondientes los actos jurídicos y disposiciones normativas

cuando así esté legalmente establecido.



No se trata ya tanto, pues, de la exigencia de una norma legal para

proteger los datos personales, sino de la necesidad de la ley para imponer a los

ciudadanos el uso exclusivo de medios electrónicos, informáticos o telemáticos.

Cuestión a resolver es si dicha habilitación puede considerarse contenida en el

artículo 45 LRJPAC con carácter general o, en relación con los procedimientos de

concurrencia competitiva, en el artículo 59.6 letra b) de dicho cuerpo legal; lo que

podría, sin duda, ser sostenido de modo plausible.

4.2 Rectificación

Deben rectificarse o cancelarse los datos los daros de carácter personal cuyo

tratamiento no se ajuste a lo dispuesto en la LOPD, en particular, atendiendo al

principio de exactitud de los datos cuando estos no se correspondan con la realidad

conocida por el titular.

El procedimiento a seguir para la rectificación será similar al indicado para

el acceso, si bien la rectificación no plantea los mismos problemas.

Sin embargo es obligado, en caso de cesiones de datos, para el cedente o el

cesionario o para quien tenga conocimiento de la inexactitud de los datos, el

notificar tal extremo a quien se hayan comunicado los datos.

4.3 Cancelación

El artículo 4.5 de la LOPD, dice que los datos de carácter personal serán

cancelados cuando hayan dejado de ser necesarios o pertinentes para la

finalidad para la cual hubieran sido recabados o registrados, y el artículo 16

hace referencia a que cabrá esta posibilidad cuando los datos sean inexactos o

incompletos.

La Agencia Española de Protección de Datos no dispone de los datos

personales de los ciudadanos, por lo que se deberá dirigir la solicitud de cancelación,

a través de cualquier medio que permita acreditar su envío y recepción,

directamente al Responsable del Fichero que contiene sus datos personales, y

acompañándola de copia del D.N.I. Si no conoce la dirección física del titular o

responsable de los ficheros en cuestión, podrá pedirla en la Agencia Española de

Protección de Datos, o consultarla a través de internet en la página del Registro

General de Protección de Datos.

Una vez cursada la solicitud de cancelación, deberá recibir respuesta

satisfactoria en el plazo de 10 días, LOPD, artículo 16 LOPD, dando lugar al bloqueo

de los datos, conservándose únicamente a disposición de las Administraciones



Públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades

nacidas del tratamiento, durante el plazo de prescripción de éstas. Cumplido el

citado plazo deberá procederse a la supresión. Si esto no es así, entonces cabrá

interponer la denuncia correspondiente ante la Agencia Española de Protección de

Datos, entregando en la Sección de Registro un relato de los hechos, copia de la

solicitud y de la respuesta, y documento identificativo, para que ésta se encargue

de hacer realmente efectivo el derecho de cancelación reclamado por el interesado.

Por Ley, los datos personales no pueden ser conservados en forma que

permita la identificación del interesado durante un período superior al necesario

para los fines en base a los cuales hubieran sido recabados o registrados. Si se

permite conservarlos durante los plazos previstos en las disposiciones aplicables o,

en su caso, en las relaciones contractuales entre la persona o entidad responsable

del tratamiento y el interesado (LOPD, artículo 16).

En cualquier caso, se podrá determinar reglamentariamente el

procedimiento por el que, por excepción, atendidos los valores históricos,

estadísticos o científicos de acuerdo con la legislación específica, se decida el

mantenimiento íntegro de determinados datos y habrá que tenerlo en cuenta a la

hora de decidir interponer una denuncia.

Sólo podrá denegarse el ejercicio de este derecho en los siguientes casos:

- En ficheros de Fuerzas y Cuerpos de Seguridad en función de los

peligros que pudieran derivarse para la defensa del Estado o la

seguridad pública, la protección de los derechos y libertades de

terceros o las necesidades de las investigaciones que se estén

realizando.

- En ficheros de la Hacienda Pública cuando obstaculice las

actuaciones administrativas tendentes a asegurar el cumplimiento

de las obligaciones tributarias y, en todo caso, cuando esté siendo

objeto de actuaciones inspectoras.

4.4 Oposición

Cuando el titular de los datos tuviera constancia de que sus datos personales

tratados en un fichero son inexactos o incompletos, podrá solicitar del responsable

del fichero la rectificación de los mismos.

Este derecho se ejercita ante el responsable del fichero por el titular de los

datos o afectado, es un derecho personalísimo que no puede ejercitarse por

persona distinta de su titular, a excepción de menores e incapacitados.



El derecho de rectificación se ejerce mediante solicitud dirigida al

responsable del fichero o tratamiento por cualquier medio que garantice la

identificación del afectado. El responsable deberá atender a la petición, previa

comprobación de los documentos justificativos de la misma presentados por el

interesado, en el plazo de diez días.

Sólo podrá denegarse el ejercicio de este derecho en los siguientes

casos:

- En ficheros de Fuerzas y Cuerpos de Seguridad en función de

los peligros que pudieran derivarse para la defensa del Estado o la

seguridad pública, la protección de los derechos y libertades de

terceros o las necesidades de las investigaciones que se estén

realizando.

- En ficheros de la Hacienda Pública cuando obstaculice las

actuaciones administrativas tendentes a asegurar el cumplimiento

de las obligaciones tributarias y, en todo caso, cuando esté siendo

objeto de actuaciones inspectoras.

También el responsable podrá modificar por propia iniciativa los datos que

resulten inexactos o incompletos

4.5 Indemnización

Existe el derecho a que el titular de los datos sea indemnizado por los

perjuicios causados por un tratamiento de datos efectuado sin respeto o atención a

lo dispuesto en la LOPD y la normativa de desarrollo.

Por ejemplo, en el caso de un a inscripción en un fichero de morosos que

supone la denegación de un préstamo cuando la deuda no existía realmente.

Pero respecto de la responsabilidad en las indemnizaciones de las

Administraciones Públicas, hacemos remisión al apartado 6.2 de este manual donde

se aborda el tema de la responsabilidad patrimonial de la administración.

4.6 Impugnación de valoraciones

Este derecho permite al interesado impugnar aquellas decisiones que tengan

efectos jurídicos y cuya base sea únicamente un tratamiento de datos de carácter

personal que ofrezca una definición de sus características o personalidad.



El interesado podrá impugnar actos jurídicos o decisiones privadas que

impliquen una valoración de su comportamiento basado únicamente en un

tratamiento de datos personales que ofrezca una definición de su personalidad.

Para el ejercicio de este derecho el afectado podrá solicitar información del

responsable del fichero sobre:

- criterios de valoración utilizados, y

- programa utilizado en el tratamiento.

La valoración sobre el comportamiento de los ciudadanos, basada en un

tratamiento de datos, únicamente podrá tener valor probatorio a petición del

afectado.

4.7 Limitaciones de los derechos de los titulares en relación a los ficheros

públicos

Una de las principales singularidades que incluye el régimen jurídico

específico de los ficheros de titularidad pública es la limitación a la que se

encuentra sometido el titular de los datos personales en ellos incluidos respecto del

ejercicio de los derechos de acceso, rectificación y cancelación. En efecto, el artículo

23 LOPD faculta al responsable del fichero para excepcionar los citados derechos en

función de “los peligros que puedan derivarse para la defensa del Estado o la

seguridad pública, la protección de los derechos y libertades de terceros o a las

necesidades de la investigación que se estén realizando” en los supuestos de

ficheros pertenecientes a las Fuerzas y Cuerpos de Seguridad del Estado,

habilitación que se reproduce a favor de la Hacienda Pública cuando con el ejercicio

de los derechos analizados “obstaculice las actuaciones administrativas tendentes a

asegurar el cumplimiento de las obligaciones tributarias y, en todo caso, cuando el

afectado esté siendo objeto de actuaciones inspectoras”.

Ahora bien, aunque no se haya previsto la obligación de motivar la decisión

que se adopte, esta exigencia debe entenderse aplicable a los supuestos recogidos

en el artículo 23 LOPD por cuanto se trata de actos discrecionales que, de

conformidad con las reglas generales consagradas en el artículo 54 de la LRJPAC,

requieren la justificación de la decisión administrativa. En todo caso, el titular de los

datos afectados por la decisión administrativa limitadora de sus derechos siempre

puede acudir a los mecanismos generales que le ofrece el ordenamiento jurídico

para aquellos supuestos en que se haya incumplido el régimen jurídico aplicable.

5 Las Medidas de Seguridad.



5.1 Introducción

El Real Decreto 994/1999, RMS, recoge las medidas de seguridad a aplicar

sobre los ficheros y las instalaciones que acogen los medios técnicos adecuados

para su tratamiento.

Las mediadas de seguridad se dividen en tres grupos de acuerdo a la

naturaleza de los datos que deban “proteger”.

Así para los datos de nivel básico, aquellos que no gozan de especial

protección según la LOPD, deberán aplicarse las medidas de nivel básico que el

RMS dispone.

Para los datos, que gozando de especial protección, hacen referencia a la

comisión de infracciones y sanciones penales y administrativas, se disponen las

mediadas de nivel medio. Además, cuando los datos de nivel básico recabados,

por su cantidad y calidad sean suficientes para la elaboración de perfiles de la

persona o permitan evaluar su personalidad, deberán someterse varias de las

medidas previstas en el aparatado de las de nivel medio. Puede decirse que tiene

un régimen intermedio.

En el nivel medio, también se incluyen los datos de las empresas de

servicios financieros, y los ficheros de solvencia patrimonial y crédito, los

denominados registros de morosos.

Además en este nivel medio, se encentran los ficheros de Hacienda Pública,

que la Agencia Española de Protección de Datos ha considerado16, en su Memoria

de 1999, referidos exclusivamente a los ficheros públicos, bien sean de la Agencia

Tributaria o de los entes autonómicos o locales que gestionen tributos.

El nivel alto de medidas de seguridad se aplicará a los ficheros que

contengan datos de ideología, religión, creencias, origen racial, salud, o vida sexual,

así como los que contengan datos recabados para fines policiales obtenidos sin

consentimiento del titular.

16 A este respecto, la Agencia Española de Protección de Datos ha considerado que la expresión anteriormente citada se refiere exclusivamente a los ficheros cuya titularidad corresponda a la Hacienda Pública, debiendo entenderse esta expresión como aplicable a aquellos ficheros cuyo responsable sea una Administración Pública que ostente potestades en materia tributaria; esto es aquellos ficheros cuyo responsable sea la Agencia Estatal de Administración Tributaria, los que correspondan a las Comunidades Autónomas en materia de Tributos que les hayan sido cedidos o aquellos padrones fiscales, correspondientes a los tributos locales, de los que son responsables las Haciendas Locales, como por ejemplo los regulados en los artículos 60 (IBI), 78.1 (IAE) y 92.1 (I. de Vehículos ...) del Real Decreto Legislativo 2/2004, de 5 de marzo, por el que se aprueba el texto refundido de la Ley Reguladora de las mismas y cualesquiera de las Administraciones Públicas que tengan por objeto la exacción de algún recurso de naturaleza tributaria.

En consecuencia, la expresión contenida en el articulo 4.2 resultará aplicable exclusivamente a estos ficheros, de titularidad pública y nunca a ficheros de titularidad privada, aunque de los mismos pudiera derivarse la existencia de datos con trascendencia tributaria.



Los tres niveles son acumulativos, es decir las medidas de nivel medio

incluyen necesariamente todas las medidas de nivel bajo, y las de nivel alto las de

nivel medio y nivel bajo.

Además cada uno de los niveles se considera mínimo exigible siendo

posible aumentar el nivel de protección o someter a los ficheros a unas medidas

correspondientes a niveles superiores de manera voluntaria por el Responsable del

Fichero.

Todas estas medidas técnicas deberán reflejarse en un documento,

denominado Documento de Seguridad que servirá como “Manual de

Instrucciones” de la protección de datos.

5.2 El Documento de Seguridad: contenidos

Constituye una de las exigencias de las medidas de seguridad de nivel básico

del RMS. Por lo tanto su exigencia es inexcusable en todos los niveles de la

protección.

En particular la Universidad deberá elaborar un documento de seguridad

de obligado cumplimiento para todo el personal que tenga acceso a datos

personales y a las aplicaciones informáticas y sistemas de información

correspondientes, y que debe incluir, como mínimo:

- Ámbito de la aplicación.

- Medidas, normas, procedimientos, reglas y estándares

encaminados a garantizar el nivel de seguridad.

- Funciones y obligaciones del personal.

- Estructura de los ficheros con datos de carácter personal,

incluyendo una descripción del sistema de información.

- Procedimiento de notificación de incidencias.

- Procedimiento de realización de copias de respaldo.

Este contenido mínimo deberá ampliarse para recoger las medidas

establecidas para el nivel concreto de seguridad en el que esté clasificado cada uno

de los ficheros.

En el caso de ser de aplicación a ficheros con un nivel de protección superior,

estas menciones deberán ampliarse con las siguientes.

Para los ficheros con nivel de protección medio, el documento de

seguridad debe contener:



- La identificación del Responsable de Seguridad

- Los controles periódicos a realizar para comprobar el cumplimiento

de lo dispuesto en el propio documento.

- Las medidas a adoptar cuando un soporte vaya a ser rechazado.

No se prevén especiales referencias en el propio documento cuando el nivel

de protección sea alto.

Por regla general, el Documento de Seguridad suele ampliarse a todos

aspectos que tienen que ver con la protección de datos en la empresa,

configurándose, como ya se ha dicho, como un manual de la protección de datos.

El documento de seguridad es un documento “vivo”, que en todo momento

debe mantenerse actualizado incorporando todos los cambios producidos en el

entorno de tratamiento de los datos, así como a la legislación vigente.

5.3 Funciones y Obligaciones del Personal

Las funciones y obligaciones del personal respecto de los datos de carácter

personal se refieren a aquellas normas que son de obligado cumplimiento para

el personal que trata los datos bajo la autoridad del Responsable del Fichero.

Esta información debe formar parte del documento de seguridad con

independencia del nivel de protección asignado al fichero. Su contenido suele ser:

- Funciones y obligaciones de grupos de usuarios y/o perfiles

- Conocimiento por parte del personal de las normas y medidas de

seguridad que les son aplicables

- Identificación y funciones del/los Responsables de Seguridad

- Trabajo fuera de ubicación principal debe ser expresamente

autorizado

- Listado de personal con acceso a Servidores y/o CPD

- Listado de personal con privilegios administrativos informáticos

sobre aplicaciones y ficheros

- Obligaciones respecto a los protocolos de notificación de incidencias

- Información respecto de los protocolos de acceso

5.4 Otros contenidos

Otros contenidos importantes del documento de seguridad son:



Identificación y Autenticación:

- Existencia de una lista actualizada de usuarios autorizados que

tengan acceso autorizado al sistema de información.

- Procedimientos de identificación y autenticación informáticos:

• Contraseñas: procedimiento de creación, asignación, conservación

y cambio periódico

• Identificación de usuario, de manera inequívoca y personalizada

• Limitación de acceso incorrecto reiterado

Control de Acceso:

- Los usuarios tendrán únicamente acceso a los datos/recursos de

acuerdo a su puesto laboral y tareas definidas en el documento

- Deberán implantarse mecanismos que eviten el acceso no

autorizado a otros recursos: establecimiento de perfiles de usuario.

- Control de acceso físico a servidores y CPD (centros de

procesamiento de datos)

- De cada acceso se guardarán: identificación usuario, fecha y hora,

fichero accedido, tipo de acceso y su autorización o denegación,

guardando la información que permita identificar registro accedido

- Los mecanismos de acceso estarán bajo el control directo del

Responsable de Seguridad, sin que pueda permitirse la

desactivación.

- Registro y conservación de accesos lógicos al fichero por un plazo

no inferior a 2 años.

- Para accesos a través de redes de telecomunicaciones, deberán

tener las mismas medidas que para accesos en modo local.

Estructura de los Ficheros y del Sistema Informático:

- Descripción y estructura informática del Fichero (campos ID)

- Descripción y estructura del Sistema Informático (enumeración de

equipos, redes, programas, etc...)

Gestión de Soportes:

- Identificación, inventariado y almacenamiento



- Autorización necesaria para salida de soportes

- Cifrado de soportes en caso de operaciones externas de

mantenimiento

- Medidas y procedimientos para la destrucción de soportes

- Registro de Entrada de Soportes

- Registro de Salida de Soportes

- Distribución de soportes con mecanismos de cifrado de datos

Ficheros Temporales:

- Aplicación de mismo nivel de seguridad que fichero origen

Registro de Incidencias:

- Contenido mínimo: tipo de incidencia, momento en que se produce,

efectos producidos, persona que comunica, medidas adoptadas

- Contenido adicional: Procedimiento de restauración de datos, datos

restaurados y datos grabados manualmente

Procedimientos de Copias de Respaldo y Recuperación datos:

- Deberán garantizar la restauración de los datos al momento

anterior a producirse la pérdida

- Realización de copias de backup al menos con una frecuencia

semanal

- Necesaria autorización para la ejecución de procedimientos de

restauración de datos

- Almacenamiento externo de copias y procedimientos de

restauración de datos

Pruebas con datos reales:

- Aplicación de mismas medidas según nivel de seguridad de los

datos

Actualización y Auditoria:

- Revisión y actualización del Documento de Seguridad en función de

cambios relevantes en la Organización

- Auditoria cada 2 años. Conservación de Informe a disposición

Agencia Española de Protección de Datos



- Revisión periódica de la información de control de los accesos

informáticos a ficheros y aplicaciones

5.5 El caso de las medias de seguridad en ficheros en soporte papel

En relación a los ficheros no automatizados (manuales estructurados), no

existe en este momento ningún desarrollo reglamentario relativo a las condiciones

que deben cumplirse con respecto a su integridad y seguridad y a las de los centros

de tratamientos, locales, etc., si bien ello no debe interpretarse como que no

haya que tomar medidas de seguridad.

¿Qué medidas habrá que adoptar?: las técnicas y organizativas que

garanticen la seguridad de los datos, habida cuenta del estado de la tecnología, la

naturaleza de los datos almacenados y los riesgos a que estén expuestos.

Existen muchas medidas que pueden adoptarse para el tratamiento de

datos de forma manual, como por ejemplo:

- recoger el expediente personal de un interesado que se esté

utilizando en la actividad laboral o profesional cuando vaya a

ausentarse del puesto de trabajo. Simplemente guardarlo en un

cajón ya es una medida que aumenta la seguridad del tratamiento.

- romper cualquier papel que contenga datos de una persona y que

se vaya a tirar a la papelera.

- establecer un procedimiento para la retirada de los papeles

desechados, garantizando la confidencialidad de los datos hasta su

destrucción, etc.

- disponer de zonas de archivo de acceso controlado y/o vigilado.

En general, se interpreta que es necesario adecuar las medidas previstas

para los ficheros automatizados en aquellas que sean posibles a los ficheros de

datos en soporte papel. En estos soportes juega un papel esencial el sentido común

a la hora de implementar las medidas que permitan equiparar el nivel de protección

de la información contenida en ellos.

6 Infracciones y Sanciones.

6.1 Las infracciones en la LOPD

Las infracciones en materia de protección de datos se encuentran recogidas

en la propia LOPD, artículo 44. Se lista un catálogo de infracciones que comprenden

todas las posibles conductas sancionables.



Son infracciones leves:

- No atender, por motivos formales, la solicitud del interesado de

rectificación o cancelación de los datos personales objeto de

tratamiento cuando legalmente proceda.

- No proporcionar la información que solicite la Agencia de Protección

de Datos en el ejercicio de las competencias que tiene legalmente

atribuidas, en relación con aspectos no sustantivos de la protección

de datos.

- No solicitar la inscripción del fichero de datos de carácter personal

en el Registro General de Protección de Datos, cuando no sea

constitutivo de infracción grave.

- Proceder a la recogida de datos de carácter personal de los propios

afectados sin proporcionarles la información que señala el artículo 5

LOPD.

- Incumplir el deber de secreto establecido en el artículo 10 LOPD,

salvo que constituya infracción grave.

Son infracciones graves:

- Proceder a la creación de ficheros de titularidad pública o iniciar la

recogida de datos de carácter personal para los mismos, sin

autorización de disposición general, publicada en el «Boletín Oficial

del Estado» o Diario oficial correspondiente.

- Proceder a la creación de ficheros de titularidad privada o iniciar la

recogida de datos de carácter personal para los mismos con

finalidades distintas de las que constituyen el objeto legítimo de la

empresa o entidad.

- Proceder a la recogida de datos de carácter personal sin recabar el

consentimiento expreso de las personas afectadas, en los casos en

que éste sea exigible.

- Tratar los datos de carácter personal o usarlos posteriormente con

conculcación de los principios y garantías establecidos en la

presente Ley o con incumplimiento de los preceptos de protección

que impongan las disposiciones reglamentarias de desarrollo,

cuando no constituya infracción muy grave.



- El impedimento o la obstaculización del ejercicio de los derechos de

acceso y oposición y la negativa a facilitar la información que sea

solicitada.

- Mantener datos de carácter personal inexactos o no efectuar las

rectificaciones o cancelaciones de los mismos que legalmente

procedan cuando resulten afectados los derechos de las personas

que la presente Ley ampara.

- La vulneración del deber de guardar secreto sobre los datos de

carácter personal incorporados a ficheros que contengan datos

relativos a la comisión de infracciones administrativas o penales,

Hacienda Pública, servicios financieros, prestación de servicios de

solvencia patrimonial y crédito, así como aquellos otros ficheros

que contengan un conjunto de datos de carácter personal

suficientes para obtener una evaluación de la personalidad del

individuo.

- Mantener los ficheros, locales, programas o equipos que contengan

datos de carácter personal sin las debidas condiciones de seguridad

que por vía reglamentaria se determinen.

- No remitir a la Agencia de Protección de Datos las notificaciones

previstas en esta Ley o en sus disposiciones de desarrollo, así como

no proporcionar en plazo a la misma cuantos documentos e

informaciones deba recibir o sean requeridos por aquél a tales

efectos.

- La obstrucción al ejercicio de la función inspectora.

- No inscribir el fichero de datos de carácter personal en el Registro

General de Protección Datos, cuando haya sido requerido para ello

por el Director de la Agencia de Protección de Datos.

- Incumplir el deber de información que se establece en los artículos

5, 28 y 29 LOPD, cuando los datos hayan sido recabados de

persona distinta del afectado.

Son infracciones muy graves:

- La recogida de datos en forma engañosa y fraudulenta.

- La comunicación o cesión de los datos de carácter personal, fuera

de los casos en que estén permitidas.



- Recabar y tratar los datos de carácter personal a los que se refiere

el artículo 7.2 cuando no medie el consentimiento expreso del

afectado; recabar y tratar los datos referidos en el artículo 7.3

cuando no lo disponga una ley o el afectado no haya consentido

expresamente, o violentar la prohibición contenida en el artículo

7.4.

- No cesar en el uso ilegítimo de los tratamientos de datos de

carácter personal cuando sea requerido para ello por el Director de

la Agencia de Protección de Datos o por las personas titulares del

derecho de acceso.

- La transferencia temporal o definitiva de datos de carácter personal

que hayan sido objeto de tratamiento o hayan sido recogidos para

someterlos a dicho tratamiento, con destino a países que no

proporcionen un nivel de protección equiparable sin autorización

del Director de la Agencia de Protección de Datos.

- Tratar los datos de carácter personal de forma ilegítima o con

menosprecio de los principios y garantías que les sean de aplicación,

cuando con ello se impida o se atente contra el ejercicio de los

derechos fundamentales.

- La vulneración del deber de guardar secreto sobre los datos de

carácter personal a que hacen referencia el artículo 7, apartados 2

y 3, así como los que hayan sido recabados para fines policiales sin

consentimiento de las personas afectadas.

- No atender, u obstaculizar de forma sistemática el ejercicio de los

derechos de acceso, rectificación, cancelación u oposición.

- No atender de forma sistemática el deber legal de notificación de la

inclusión de datos de carácter personal en un fichero.

6.2 El régimen especial de la responsabilidad de las Administraciones

Una cuestión que suscita inevitables reflexiones es la relativa a las

concretas medidas que en ejercicio de la potestad sancionadora sobre ficheros

públicos pueden adoptar las diferentes autoridades de control, Agencias de

Protección de Datos. En este sentido las dispuestas por el artículo 46 LOPD deben

ser juzgadas, cuanto menos, excesivamente genéricas y probablemente

violentadoras de un razonable entendimiento del principio de tipicidad de las

infracciones y sanciones.



La LOPD establece que el Director de la Agencia Española de Protección de

Datos dictará resolución estableciendo las medidas correctoras o de cesación de la

conducta infractora. No existe sanción económica como las que se disponen para

los ficheros de naturaleza privada.

Por lo que se refiere a lo dispuesto en el artículo 46.2 LOPD, debe

determinarse de modo más o menos definido cuál es el alcance que tiene la

“propuesta” que el Director de la Agencia Española de Protección de Datos puede

avanzar a la autoridad administrativa correspondiente en orden a la iniciación de

actuaciones disciplinarias frente al funcionario responsable. En este sentido, parece

que este precepto debe reconducirse a lo dispuesto con carácter general en el Real

Decreto 33/1986, de 10 de enero, por el que se aprobó el Reglamento de

régimen disciplinario de los funcionarios de la Administración del Estado,

artículo 27, que dispone que el procedimiento se iniciará siempre de oficio, por

acuerdo del órgano competente, bien por propia iniciativa o como consecuencia de

orden superior, moción razonada de los subordinados o denuncia.

Pues bien, ante esta situación parece que no queda más remedio que

reconducir la posición del Director de la autoridad de control a la de un denunciante,

con un considerable grado de cualificación, si se quiere. Ello supondría inicialmente

el reconocimiento de un estatus procedimental limitado en relación con la iniciación

y tramitación (o la ausencia de ambas) de los procedimientos disciplinarios cuya

apertura pueda instar la autoridad de control contra los funcionarios responsables,

tal y como viene siendo tradicional en nuestro Derecho administrativo sancionador

y disciplinario. No obstante, debe decirse que la potencialidad de la intervención de

la autoridad de control en este punto puede entenderse ampliada en relación con

esta clásica concepción por varios motivos.

En primer lugar, es creciente la consideración de que aun el mero

denunciante tiene un poder de estimulación que fuerza a la Administración

destinataria de la denuncia al despliegue de una actividad tendente a la

acreditación, siquiera embrionaria, de la veracidad de los hechos denunciados y que

permita decidir con fundamento suficiente la iniciación del correspondiente

procedimiento disciplinario. Asimismo y al margen de este “interés procedimental”

que ostenta el mero denunciante, se han reconocido por el autor citado otras

facultades ciertamente importantes, como el derecho a recibir comunicación del

resultado de su denuncia y, lo que es más importante aún, el reconocimiento de

una facultad de impugnación jurisdiccional de la eventual resolución de la autoridad

administrativa que decida la no incoación del procedimiento o el archivo de las

actuaciones.



En otro orden de consideraciones, una cuestión distinta es la relativa a la

responsabilidad administrativa en que pueda incurrir el personal laboral al servicio

de la Administración Pública como consecuencia del incumplimiento de la normativa

sobre protección de datos. Como puede observarse, esta eventualidad no está

expresamente prevista en el artículo 46 LOPD, que presupone la exclusividad o el

monopolio del estamento funcionarial en la implicación en tareas relacionadas con

la protección de datos personales o con el manejo en general de información

personal de los ciudadanos en las Administraciones Públicas. Como modo de

otorgar un tratamiento igualitario a ambos tipos de empleados públicos, no cabe

concluir sino que el personal que presta sus servicios en la Administración Pública

con sometimiento al Derecho del Trabajo pueda ser sancionado disciplinariamente a

instancias del Director de la Agencia Española de Protección de Datos o del ente de

control autonómico de conformidad con la normativa laboral aplicable. Por el

contrario, el sistema de responsabilidad administrativa dispuesto en relación con los

sujetos públicos presenta una carencia absoluta de efectividad represora cuando la

imputación subjetiva de la infracción recae en personal político de las

Administraciones Públicas, pues en tales casos no existe posibilidad alguna de

sanción disciplinaria.

Finalmente, procede abordar la cuestión relativa a la naturaleza y efectos

de las resoluciones sancionadoras evacuadas por las autoridades de control en

relación con las Administraciones Públicas. En este sentido y al contrario de lo que

señalamos en punto a las resoluciones dictadas por las autoridades de control en

los procedimientos de tutela de los derechos de protección de datos frente a las

Administraciones Públicas las resoluciones sancionadoras dictadas frente a

Administraciones Públicas sí tienen plenamente ese carácter.

La explicación de esta distinta naturaleza es evidente. En última instancia,

se produce una contradicción entre declaraciones de voluntad que tienen idéntico

objeto: la decisión de la Administración por la que no se accede al ejercicio del

derecho o se accede bajo determinadas condiciones y la resolución de la autoridad

de control que dispone en sentido opuesto o contrario. Es decir, en estos casos no

cabe que la decisión de la autoridad de control pueda considerarse ejecutiva si no

existe un instrumento por el que la declaración de voluntad administrativa objeto

de la reclamación pueda decaer o, en otras palabras, por el que la autoridad de

control esté habilitada para privarla de eficacia. Desde luego, este mecanismo no

está previsto en la LOPD, aunque tal vez fuera conveniente replantearse el alcance

de las potestades de las autoridades de control en esta materia.



Por el contrario, en los supuestos de resoluciones sancionadoras la

intervención de un acto administrativo previo por parte del ente público

“sancionado” no presenta relevancia alguna. La resolución sancionadora no es,

como se comprenderá, una declaración de voluntad de la autoridad de control

destinada a prevalecer sobre otra previa proveniente de una Administración Pública

con el mismo objeto, sino que se trata de una resolución a través de la cual se

ejercita una potestad meramente represora y para el ejercicio eficaz de la misma

resulta sencillamente indiferente que la conducta infractora, formal o material que

sea, siga o no en pie. Si el comportamiento material ilícito persiste o se vuelven a

dictar actos administrativos igualmente ilícitos con posterioridad, ello determinará,

eventualmente, la instrucción y resolución de sucesivos procedimientos

sancionadores; pero, en definitiva, en nada afecta a la ejecutividad y ejecutoriedad

de la resolución sancionadora dictada por la autoridad de control el que el acto

administrativo ilegal persista.

6.3 La responsabilidad patrimonial derivada de la actuación de la

Administración Pública

Que la masiva utilización y acopio de datos personales de los ciudadanos,

llevada a cabo por las diferentes Administraciones Públicas, constituye un riesgo

potencial para los derechos individuales es una constatación evidente. Pero,

además, como consecuencia del tratamiento y, en general, de la utilización que los

sujetos públicos lleven a cabo de los datos personales puede ocasionarse un daño y,

con ello, el afloramiento de una institución clave en nuestro ordenamiento: la

responsabilidad patrimonial de las Administraciones Públicas. De este modo, se

trata de un principio integrante del derecho a la protección de los datos personales

y, como tal y ante la evidencia de que la tutela preventiva es insuficiente en esta

materia, se enuncia en el artículo 19 LOPD, aunque con términos no exentos de

polémica por cuanto se refiere a la Administración Pública, tal y como veremos. Con

una terminología igualmente equívoca, el artículo 19.2 LOPD pretende concretar tal

principio en relación con las Administraciones Públicas, al señalar que Cuando se

trate de ficheros de titularidad pública, la responsabilidad se exigirá de acuerdo con

la legislación reguladora del régimen de responsabilidad de las Administraciones

públicas.

Cualquier operador jurídico podrá advertir que entre los apartados primero

y segundo del artículo 19 LOPD existe una notoria contradicción. Mientras que el

artículo 19.1 LOPD condiciona con carácter general el nacimiento de la obligación

resarcitoria al hecho de que se haya producido una infracción del ordenamiento

jurídico, el apartado segundo de dicho precepto precisa que, cuando los daños



tengan su origen en ficheros de titularidad pública, el régimen jurídico aplicable

será el dispuesto por las normas que regulan la responsabilidad patrimonial de las

Administraciones Públicas.

La contradicción es, al menos en apariencia, evidente. El artículo 19.1

consagra una responsabilidad objetiva relativa o, de otro modo, condicionada al

hecho del incumplimiento. Sin embargo, el apartado segundo remite en sede de

responsabilidad patrimonial de las Administraciones Públicas a las normas que la

regulan y en las que, por tanto, se establecen su naturaleza y presupuestos. Pues

bien, como es sobradamente conocido, entre las características esenciales de este

régimen se encuentra la naturaleza plenamente objetiva de la responsabilidad

patrimonial, cuyo nacimiento no está condicionado en absoluto a la ilegalidad de la

actuación o conducta administrativas. Desde nuestro punto de vista, el modo más

satisfactorio de solventar esta —insistimos, aparente— contradicción consiste en

considerar que el régimen de responsabilidad consagrado por el apartado primero

del artículo 19 LOPD resulta aplicable únicamente a los daños ocasionados por los

particulares, pero no a los originados en conductas imputables a las

Administraciones Públicas, las cuales se regirán en este punto, en consecuencia,

por los artículos 139 y s. LRJPC.

7 La Agencia Española de Protección de Datos.

Las Agencias de Protección de Datos se constituyen en este punto en el

garante de la aplicación de lo dispuesto en la LOPD o Ley Autonómica

correspondiente, respecto del ámbito de aplicación determinado por la misma.

Tanto la Agencia Española de Protección de Datos como las autonómicas,

cada una en su ámbito competencial (en el caso de las segundas, se circunscribe a

los ficheros de datos de carácter personal creados o gestionados por las

Administraciones Públicas de su ámbito territorial, mientras que todos los

tratamientos de datos realizados por entidades privadas son siempre

responsabilidad de la primera), tienen como función el control de la aplicación de la

Legislación sobre protección de datos y la defensa de los derechos de los

ciudadanos para el efectivo cumplimiento del derecho fundamental a la protección

de datos personales.

Entre las funciones de las Agencia de Protección de Datos es de destacar la

atención de peticiones y reclamaciones de los ciudadanos, la información sobre sus

derechos, y el ejercicio de la potestad inspectora y sancionadora.



Las Agencias de Protección de Datos tienen competencias para inspeccionar

de oficio, o a instancia de parte, los ficheros de datos personales de lo que

genéricamente hemos denominado Administración Pública.

El objeto de las inspecciones es comprobar el cumplimiento de los principios

de protección de datos en el desarrollo del tratamiento de los datos personales, y el

respeto a los derechos de los ciudadanos.

En caso de detectar una posible comisión de infracción a la normativa de

protección de datos, se podrá abrir el correspondiente procedimiento, para

determinar la existencia o no de la infracción y el responsable o responsables de la

misma. Los procedimientos abiertos contra responsables de ficheros de titularidad

pública podrán finalizar con la declaración de la existencia o no de la infracción,

pudiendo proponer en el primer supuesto que se inicie expediente disciplinario a la

persona que ha resultado responsable de la infracción cometida.

Aparte de las funciones de control que competen a las Agencias de

Protección de Datos, éstas pueden ejercer también una labor consultora,

fundamental para procurar el efectivo cumplimiento de la normativa sobre

protección de datos. En este sentido, la labor de información y asesoramiento se

lleva a cabo tanto de forma individual, asesorando sobre el procedimiento de

inscripción de ficheros y resolviendo las consultas puntuales planteadas por los

responsables de los respectivos ficheros, como de forma colectiva, a través de la

celebración de jornadas informativas organizadas por sectores de actividad, a fin de

tratar en profundidad las cuestiones particulares que pueden plantearse en los

distintos ámbitos de la actuación de la Administración.

8 Consideraciones particulares

8.1 Análisis de algunos supuestos concretos

8.1.1 Derecho a la confidencialidad de los datos personales de los alumnos y derecho de acceso de los padres al expediente académico de sus hijos.

El derecho de acceso a los datos personales es un derecho personalísimo.

Así, el Real Decreto 1332/1994, de 20 de junio, por el que se desarrollan

determinados aspectos de la Ley Orgánica 5/1992, de 29 de octubre, de regulación

del tratamiento automatizado de los datos de carácter personal, artículo 11, señala

que "... los derechos de acceso a los ficheros automatizados, así como los de

rectificación y cancelación de datos son personalísimos y serán ejercidos por el

afectado frente al responsable del fichero. [...] Podrá, no obstante, actuar el



representante legal del afectado cuando éste se encuentre en situación de

incapacidad o minoría de edad que le imposibilite el ejercicio personal de los

mismos". De hecho, el derecho de acceso "se ejercitará mediante petición o

solicitud dirigida al responsable del fichero, formulada por cualquier medio que

garantice la identificación del afectado".

Por tanto, el acceso a los datos personales de los expedientes académicos en

el caso de hijos mayores de edad debe darse únicamente al titular de los datos. El

hecho de que el derecho de acceso sea un derecho personalísimo dificulta el acceso

de cualquier otra persona, aún acreditando la representación legal, si el titular de

los datos no se encuentra en situación de incapacidad. Se puede afirmar que los

padres no tienen derecho de acceso a los expedientes académicos de los hijos

mayores de edad sin su consentimiento.

En el supuesto de que se produzca un acceso indebido a los expedientes de

los hijos por parte de los padres, estaríamos en presencia de una cesión de datos

personales -art. 11 LOPD- sin consentimiento del interesado, lo que sería una

infracción a la legislación de protección de datos personales, que puede ser

denunciado ante las autoridades de control. Además, el hijo tendría la posibilidad

de iniciar un procedimiento ante la jurisdicción penal por un delito de revelación de

secretos, Código Penal, artículo 197, o de presentar una demanda de protección del

derecho a la intimidad, en virtud de la Ley 1/1982, de 5 de mayo, de protección

civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen.

No hay que olvidar que en lo relativo al acceso a los datos personales que

obran en los expedientes académicos existe no sólo la regulación del derecho de

acceso a los tratamientos de datos personales del artículo 15 LOPD sino también el

derecho de acceso a archivos y registros administrativos del artículo 105 b) de la

Constitución. Como se ha indicado anteriormente.

Así, las Secretarías de las Facultades han atribuido al padre el carácter de

interés legítimo a partir de la LRJPAC, para acceder al expediente de sus hijos por

ser éste el que paga fe matrícula. No parece una solución acertada ya que existe en

este caso una legislación específica, la LOPD. Así, una petición de acceso al

expediente con una autorización firmada del alumno y con fotocopia del DNI no es

un procedimiento seguro ya que los padres tienen acceso al DNI y pueden

reproducir fácilmente la firma de sus hijos.

8.1.2 La gestión de la matriculación a través de entidades financieras. La emisión de carné del estudiante junto con tarjetas de crédito o débito.



Las Universidades realizan el proceso de matriculación de alumnos y el pago

de las nóminas de su personal a través de entidades financieras. El pago de la

matrícula a través de una entidad financiera obliga a suministrar muchos datos de

carácter personal. En el pasado, la propia entidad financiera se quedaba con una

copia de la matrícula. Es necesario que en el proceso de matriculación, que implica

un tratamiento de datos personales se respeten los principios y los derechos de los

afectados. Así, hay que garantizar especialmente el principio de calidad en el

tratamiento de los datos que se exijan para este proceso de matriculación. Sólo

pueden recogerse los datos que sean adecuados, pertinentes y no excesivos en

relación con la finalidad de la matriculación, LOPD, artículo 4. Además, es necesario

que se revelen los menores datos posibles a la entidad financiera.

La entidad financiera tiene el carácter de encargada del tratamiento, al ser la

persona jurídica que trata los datos personales por cuenta del responsable del

fichero -art. 3.g) LOPD-, que sería la Universidad. Ahora bien, para que la entidad

financiera tenga el carácter de encargado del tratamiento, es imprescindible que

exista un contrato por escrito o a través de cualquier forma que pueda acreditarse

su celebración que recoja las menciones que obliga la LOPD en su artículo 12.

No obstante, podría entenderse que en el pago de la matrícula a través de

una entidad financiera ésta no sería encargada del tratamiento sino la responsable

del fichero. Cuando uno está haciendo unos pagos a través de una entidad

financiera, de alguna manera está consintiendo en el tratamiento de los datos. O si

lo hace a través de la Universidad, poniendo la cuenta corriente de una entidad

financiera para que le carguen la matrícula, se puede entender que autoriza la

cesión art. 11.2.c) LOPD que se produciría en la medida en que el tratamiento

responde a la libre y legítima aceptación de una relación jurídica cuyo desarrollo,

cumplimiento y control implica necesariamente la conexión de dicho tratamiento

con ficheros de terceros. En todo caso, la entidad financiera no podrá destinar los

datos personales para una finalidad distinta de la matriculación, salvo que exista un

consentimiento informado del interesado que admita el tratamiento de los datos

para otra finalidad.

Otro supuesto diferente consistiría en encargar a las entidades financieras la

edición del carnet del estudiante. Estas serían encargadas del tratamiento por

cuenta del responsable del fichero que sería la Universidad. Esto es legítimo con las

exigencias mencionadas anteriormente. Ahora bien, si la entidad financiera quiere

vincular el carnet del estudiante con una tarjeta de crédito o de débito, tiene que

pedir el consentimiento del interesado. Si esto no se hace, se vulnera el principio de

calidad, al tratar los datos para una finalidad distinta.



8.1.3 La publicación de listados y calificaciones de alumnos en tablones de anuncios y sitios web.

Aquí hay que distinguir situaciones donde rige el principio de publicidad, de

ámbitos donde no rige este principio.

Así, rige el principio de publicidad en el listado de alumnos admitidos que

editan las Universidades con el nombre y demás datos identificativos de éstos. Si

bien no existe una regulación específica con rango de Ley, su propio carácter censal

exige su publicación de una manera que facilite la publicidad y la transparencia. En

este caso, el principio de calidad de los datos exige publicar en el listado de

alumnos admitidos únicamente aquellos datos necesarios para la identificación y

admisión, evitando así el tratamiento de datos excesivos.

En lo relativo a la publicación de las calificaciones, es necesario señalar que

en los procedimientos donde existe concurrencia competitiva, como en los Premios

Extraordinarios de Licenciatura o de Doctorado, debe producirse la publicación del

listado de las personas y de las calificaciones como exigencia del principio de

publicidad. Así, el art. 59.5 b) de la LRJPAC establece que la notificación del acto

administrativo, cuando se trate de actos integrantes de un procedimiento selectivo

o de concurrencia competitiva de cualquier tipo, se realizará mediante la

publicación del acto. La publicación de los listados de personas que estén

participando en un proceso selectivo ante cualquier Administración Pública no es

potestativa sino obligatoria en cumplimiento del principio de publicidad que rige

todas las convocatorias de pruebas selectivas, de acuerdo con las bases de las

mismas. Así, las bases de la convocatoria deberán indicar el tablón de anuncios o

medio de comunicación donde se vayan a realizar las sucesivas publicaciones,

careciendo de validez las que se lleven a efecto en lugares distintos.

La publicación se podrá hacer también en sitios web. Así, la LRJPAC, artículo

45, establece que las Administraciones Públicas impulsarán el empleo y aplicación

de las técnicas y medios electrónicos, informáticos y telemáticos, para el desarrollo

de su actividad y el ejercicio de sus competencias, con las limitaciones que a la

utilización de estos medios establecen la Constitución y las Leyes. La publicación de

estos listados en sitios web es un mecanismo válido de notificación de actos

administrativos, que es equiparable al tablón de anuncios. En todo caso, debe

hacerse constar en las bases de la convocatoria esta forma de publicación,

precisándose el tablón de anuncios o la dirección web, de manera que se garantice

el principio de información para el tratamiento automatizado de datos de carácter

personal.



Ahora bien, si la lista de aspirantes se publicase en el Boletín Oficial del

Estado, de las Comunidades Autónomas o Provinciales, esta información con los

datos de las personas en que ellos figuren sí se convertiría en una fuente de acceso

público. La publicación de estos listados en los Boletines Oficiales permite que sean

estos fuentes accesibles al público, de manera que su consulta pueda ser realizada

por cualquier persona.

Existen otras situaciones donde no rige este principio de publicidad al no

existir un procedimiento de concurrencia competitiva. Estamos hablando, por

ejemplo, de las calificaciones académicas de cada asignatura que tienen como

destinatarios los alumnos y deben anotarse en su expediente académico. Estas

calificaciones académicas, aunque son procedimientos administrativos, no se rigen

por el principio de publicidad sino sólo por la obligación de comunicación al

interesado de !a resolución de ese acto administrativo. La difusión de estas

calificaciones a través de tablones de anuncios o en internet representa un

supuesto de cesión de datos a terceros sin consentimiento. Para ello, sería

necesario que el alumno diera su consentimiento ya que la función administrativa

que exceptúa el consentimiento da cobertura únicamente al tratamiento de sus

datos personales por el profesor pero no la cesión indiscriminada a terceros.

Sin embargo es posible la creación de un sitio de acceso a las calificaciones

de los alumnos mediante contraseña de cada alumno a su expediente, respetando

de esa manera, y haciéndole responsable de su propia contraseña de acceso al sitio,

y por lo tanto haciéndole garante de su propia intimidad.

8.1.4 Los directorios de correo electrónico

El correo electrónico ha sido considerado como un dato de carácter personal

porque es una información concerniente a personas físicas identificadas o

identificables. Por tanto, los directorios de correos electrónicos son un tratamiento

de datos de carácter personal, que tiene que ser declarado. Los directorios de

correos electrónicos deben ser conocidos internamente por todo el personal de la

Universidad porque su función es permitir la comunicación interna y deben ser

publicados también externamente, no sólo los institucionales sino también los de

los profesores, como instrumento que facilite la comunicación con los alumnos.

Inicialmente, el tratamiento de los datos personales del profesor en el

directorio de correos electrónicos de la Universidad no exigiría el consentimiento del

afectado, por ser para el cumplimiento de funciones administrativas -art. 6.2 LOPD-.

No obstante, el profesor puede ejercer el derecho de oposición. Así, como señala el

art. 6.4 LOPD, "... en los casos en los que no sea necesario el consentimiento del

afectado para el tratamiento de los datos de carácter personal, y siempre que una



ley no disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan

motivos fundados y legítimos relativos a una concreta situación personal. En tal

supuesto, el responsable del fichero excluirá del tratamiento los datos relativos al

afectado". Así, una persona que haya recibido amenazas o incluso que haya

recibido correos electrónicos con virus, podría ejercitar el derecho de oposición a

estar en esta lista de distribución de correos electrónicos.

8.1.5 El comité de empresa de la Universidad ha solicitado un listado nominativo de todos los empleados. ¿Debe entregarse?

Los datos que se deben facilitar al comité de empresa se encuentran

regulados en el Estatuto de los Trabajadores, artículo 64.1, en el que indica que el

comité de empresa tiene dentro de sus competencias la de recibir información del

empresario sobre ciertos aspectos.

El comité de empresa tiene una competencia reglada o taxativa, y por tanto

no está habilitado para solicitar o recibir información diferente a la señalada en la

ley y ninguna mención hace la norma a los datos personales de DNI, dirección y

teléfono particular.

Se debe tener en consideración que el comité de empresa sí debe tener

acceso a la información relativa a la copia básica de los contratos según la norma

vigente.

El artículo 65.2 del Estatuto de los Trabajadores, señala que los miembros

del comité de empresa, y éste en su conjunto, observarán sigilo profesional en todo

lo referente a los núms.. 1, 2, 3 y 4 del artículo 64.1, aún después de dejar de

pertenecer al comité de empresa en especial en todas aquellas materias sobre las

que la dirección señale expresamente de carácter reservado. En todo caso, ningún

tipo de documento entregado por la empresa al comité podrá ser utilizado fuera del

estricto ámbito de aquella y para distintos fines de los que motivaron su entrega.

8.1.6 ¿Cuáles son los datos que pueden entregarse a los representantes sindicales?

La cesión de información que contenga datos personales a las Secciones

Sindicales se rige por los mismos criterios que la entregada a los Comités de

Empresa (ver la pregunta anterior).

8.1.7 ¿En los procesos electorales, pueden los candidatos utilizar el censo electoral para dirigir una carta a todos los integrantes del censo para dar a conocer su programa?



Sólo en caso de que esté específicamente previsto en la normativa que

regule los procesos electorales en cada Universidad. Por tanto, el Reglamento

electoral de la propia Universidad deberá establecer la regulación del censo

electoral y prever los datos que debe contener y el uso que se puede hacer del

mismo en el procedimiento electoral por parte de cada candidatura.

8.2 Preguntas y respuestas planteadas en la Universidad de La Rioja

8.2.1 Procedimiento a seguir en la destrucción de datos de carácter personal.

Respecto de los datos contenidos en soportes de papel:

La Universidad durante el año 2005 contrató con una empresa para la

destrucción de los documentos que pudieran contener datos de carácter personal

en soportes de papel (Exámenes, fichas de alumnos, etc.).

Posteriormente, una vez realizada la tarea de mayor volumen, se instalaron

destructoras de papel en cada departamento con el fin de que quien tuviera esos

documentos pudiera proceder a su destrucción una vez que los mismos habían

perdido la finalidad para la que se recogieron.

Respecto de los datos contenidos en soportes informáticos:

El procedimiento de destrucción de los datos se determinará en el

documento de seguridad.

Pero puede anticiparse que la destrucción de los datos no procede cuando

los mismos se cancelan, por cualquiera de las causas previstas para la cancelación,

sino que los datos se deben almacenar durante el tiempo que dure la prescripción

de las sanciones por el tratamiento realizado a los mismos. (Un máximo de 3 años).

Una vez transcurrido ese plazo el servicio informático es el responsable de la

destrucción de los mismos.

8.2.2 Una empresa de Logroño me ha solicitado datos de alumnos de Matemáticas para cubrir un puesto de trabajo, y quería consultaros si hay algún impedimento en relación con la Ley de Protección de Datos. ¿Darles el nombre y teléfono de alumnos que han obtenido notas altas en mis asignaturas podría vulnerar la ley?

La cesión de datos de los alumnos a empresas o particulares terceros debe

estar autorizada por el propio titular y ser consecuente con los fines que motivaron

su recogida.

Habrá que verificar si los alumnos han consentido que sus datos sean

cedidos a terceras personas para estos fines.



En principio, dada la actual situación en la universidad, no se esta

recogiendo el consentimiento para las cesiones a terceros de los datos de los

alumnos, y por lo tanto esta práctica entra en clara oposición al contenido de la

LOPD.

8.2.3 El Decano me pide etiquetas de alumnos para enviarles una carta y como estos alumnos tienen que ser los que han acabado LADE y DCE en los cursos 2003-04 y 2004-5, me imagino que esta base de datos se puede sacar de los titulados en estos cursos.

La remisión de cartas a antiguos alumnos no plantea problemas, sus datos

deben figurar en los ficheros de la universidad, siempre y cuando tales cartas

tengan un contenido relacionado con la actividad docente o administrativa de la

Universidad.

Por ello es necesario que conste por escrito la petición a la unidad concreta

encargada de la impresión de los datos en la que se ponga de manifiesto al

necesidad de obtener esa información y el compromiso de dedicarlo única y

exclusivamente a tales fines.

8.2.4 Te quería comentar que en la biblioteca guardamos fotocopias de todas las facturas de adquisiciones bibliográficas porque durante dos años podemos necesitarlas (en caso de reclamaciones, cancelaciones, etc.). Sin embargo pasado este tiempo ya no las necesitamos. Nunca las hemos destruido pero ahora ya no tenemos espacio y quisiera tirar al menos las anteriores a 2001 para dar cabida a las nuevas.. Todos los originales están en gestión financiera, son solo fotocopias de facturas carentes de valor alguno y sin otra documentación aneja. Me pregunto si ahora, aprovechando que se va a destruir documentación podríamos eliminarlas.

Las facturas, en principio no contienen datos de carácter personal protegidos

por la LOPD. Los proveedores de materiales para la biblioteca (libros, etc.) como

regla general serán personas jurídicas, excluidas del ámbito de protección de la

norma, además en las facturas no se encontrarán informaciones sobre las personas

físicas.

En el caso de que puedan ser proveedores personas físicas, autónomos pro

ejemplo, esos datos al estar relacionados con su actividad económica quedan al

margen del marco regulador de la LOPD.

Siendo, además, ficheros en soporte papel, que no se encuentran

almacenados ordenadamente, que no tienen una estructura en su almacenamiento

relacionada con los datos personales sino cronológica, podría incluso dudarse de su

condición de fichero, ya que el artículo 3.b) define a los ficheros como todo



conjunto organizado de datos personales, faltando ese requisito de orden en los

ficheros.

No existe ningún problema para que sena destruidos cuando ya no sean

necesarios.

8.2.5 Efectivamente recibimos el mensaje a que te refieres, sobre destrucción de documentos. Por ello, yo preparé en el mes de OCTUBRE, una caja con material "sensible" para su destrucción (tamaño aprox. 80cm X 40cm X 60cm). Avise a Secretaría del Departamento de la existencia de dicha caja. Nedie me ha avisado de que una empresa fuera a destruir nada la semana pasada. Todavía tengo la caja en mi despacho. Tal vez podría dedicar media mañana a la destrucción de dicho material, pero mejor con ayuda. ¿Qué debo hacer?

Habiendo transcurrido el plazo previsto para la entrega en los lugares

indicados para la destrucción de documentos sin que, por la razón que sea, estos

hayan sido destruidos procede utilizar las destructoras de papel habilitadas al efecto

y manualmente eliminarlos de manera completa.

8.2.6 En el Servicio de Correos de la UR, venimos guardando las notas de entrega de los envíos realizados a Correos y Telegráfos desde el año 1994. Mantuvimos una reunión con la Secretaria General para comentarle que queremos destruir todo, (tiene una muestra de las notas de envío), y sólo guardar los últimos 4 meses de envíos, ya que el plazo para reclamar a Correos en caso de no llegar un envío es de 4 meses; Esperamos contestación.

En las notas de entrega figuran los datos de las personas a las que se

remiten las comunicaciones.

Los datos con los que se rellenan los envíos son datos provenientes de los

propios titulares, bien de las matriculas, bien de escritos dirigidos a la universidad

por los interesados. Pero esos datos se almacenan en otro tipo de soportes,

informáticos principalmente, siendo las anotaciones en las hojas de entrega meros

soportes temporales de los datos.

Desde el punto de vista de la protección de datos no existen especiales

problemas para que cuando dejen de ser necesarios se destruyan.

Sin embargo podrían ser necesarios en el caso de procedimientos de

reclamación ante la universidad a efectos de demostrar el envío, etc. Pero todo ello

no relacionado con la LOPD.

8.2.7 ¿Qué documentos debemos destruir? ¿Los exámenes y trabajos de los alumnos deben ser destruidos? Y en caso afirmativo, ¿cuándo podemos hacerlo? El estatuto del estudiante da a entender que en octubre ya pueden destruirse los exámenes y trabajos del curso,



pero también hay quien opina que deben conservarse al menos 5 años. Le agradecería la respuesta a esta cuestión, o en su caso su traslado al órgano competente. Saludos.

Desde el punto de vista de la LOPD, procede cancelar y destruir los datos

cuando estos dejen de ser necesarios para la finalidad de su recogida. (Artículo 4.5)

Por lo tanto, dependerá de otra normativa la fijación del momento en el que

ya no es necesario conservar los exámenes y trabajos. (Estatuto del Estudiante,

etc.)

8.2.8 He tenido conocimiento de la Resolución de 11 de febrero de 1997, de nuestra Universidad, por la que se regulan los ficheros automatizados de datos de carácter personal. En este texto no se recoge la información relativa a los ficheros de alumnos que hacen prácticas en empresas y a titulados que hacen uso de la Bolsa de Empleo. Rogaría se me indicará qué procedimiento o instrucciones debemos seguir para actualizar esta información.

Actualmente se están actualizando los listados de ficheros existentes con el

objeto de proceder a las declaraciones de los mismos ante el Registro General de

Protección de Datos.

Los ficheros de la Universidad de La Rioja, como ficheros de titularidad

pública, solo pueden ser creados mediante Disposición General, que es la

Resolución citada en la consulta.

Sin embargo, hay que recordar que en el Registro General de la Agencia de

Protección de Datos no solo se inscriben ficheros, sino también tratamientos de

datos, que pueden por su propia naturaleza comprender varios ficheros de datos.

Así bajo el epígrafe “Alumnos” pueden entenderse comprendidos todos los

ficheros que contengan datos de los alumnos como un tratamiento conjunto de los

mismos y por ello si encontrarse declarados en la Agencia.

Estando correctamente inscritos en el Registro o no, otra de las obligaciones

derivada del principio de calidad de los datos es mantener los mismos actualizados,

por lo que cuando un empleado de la universidad tenga conocimiento de datos

desactualizados deberá proceder bien a su corrección, bien a la notificación al

encargado del mantenimiento del fichero a efectos de que procede a su

actualización.

Por ello la actualización de los datos de los ficheros es un deber fundamental

con independencia del cumplimiento o no de otras obligaciones formales.



8.2.9 1ª¿La publicación de las calificaciones debe hacerse obligatoriamente con nombre y D.N.I ? ¿ O son datos personales y sería mejor publicarlas con DNI solamente?.

2ª Considerando que se publican las calificaciones por parte del profesor *y* que actualmente los alumnos pueden visualizar su expediente a través de internet, inmediatamente después del cierre definitivo de las actas . *¿Tenemos obligación de publicar las actas definitivas?*. La no publicación por segunda vez sería un buen ahorro de tiempo, papel y por tanto de dinero. No obstante, si se mantiene lo de seguir publicando actas, convendría unificar criterios pues en el otro Centro no se publican, o por lo menos no desde la Secretaría.

Remisión al Informe 469/2004 de la Agencia de Protección de Datos.

Informe 469/2004. Agencia Española de Protección de Datos.

La consulta plantea si resulta conforme con lo establecido en la Ley

Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal,

la publicación de las calificaciones de los alumnos en los tablones anuncios de la

Universidad consultante. A su vez, se plantea si dicha publicación puede referirse al

número de Documento Nacional de Identidad o al Número de Expediente Personal

de los alumnos y si, en cualquier caso, requiere el consentimiento del afectado.

Con carácter general, puede señalarse que la publicación de los datos a los

que se refiere la consulta (tanto relativos al nombre y apellidos de los alumnos,

como a su número de Documento Nacional de Identidad o su Número de

Expediente Personal), constituye una auténtica cesión de datos de carácter

personal, definida por el artículo 3 i) de la Ley Orgánica 15/1999, como “toda

revelación de datos realizada a una persona distinta del interesado.”

En relación con las cesiones, el artículo 11.1 de la propia Ley establece como

regla general que “los datos de carácter personal objeto del tratamiento sólo

podrán ser comunicados a un tercero para el cumplimiento de fines directamente

relacionados con las funciones legítimas del cedente y del cesionario con el previo

consentimiento del interesado”. Entre las excepciones a la necesidad de ese

consentimiento recogidas en el artículo 11.2 se encuentra el que la cesión se

encuentre autorizada por una Ley.

En este sentido, la obligación de notificar a los interesados las resoluciones

administrativas que afecten a sus derechos e intereses se establece en artículo 58

de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las

Administraciones Públicas y del Procedimiento Administrativo Común.



En dicho precepto y en el artículo siguiente se regulan taxativamente los

supuestos en que tal notificación se producirá de forma distinta a la notificación

personal, mediante la publicación del acto en tablones de edictos o de anuncios.

Concretamente en el artículo 59.6.b) de la Ley 30 /1992, de 26 de noviembre, se

establece que la publicación sustituirá a la notificación cuando se trate de actos

integrantes de un proceso selectivo.

En consecuencia, a la posibilidad de publicar los listados de aspirantes con

los resultados de un proceso selectivo, resultará de aplicación lo dispuesto por los

citados artículos 58 y 59 de la Ley 30/1992, de 26 de noviembre, de Régimen

Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común,

resultando posible la publicación de los datos de carácter personal, siempre y

cuando la convocatoria determine expresamente el lugar de publicación, y rigiendo

sobre dichos supuestos el principio de publicidad derivado de la aplicación de lo

dispuesto en los mencionados preceptos.

Sin embargo, el supuesto sometido a consulta, esto es, la publicación de las

calificaciones de los alumnos en los tablones de anuncios de la Universidad

consultante, no queda amparado por lo establecido en los citados preceptos, por

cuanto en dicho supuesto no nos encontramos en presencia de un proceso selectivo,

sino ante una forma de comunicación y/o traslado de las notas de calificación

correspondientes a cada asignatura, que tienen como destinatario únicamente a los

alumnos afectados, anotándose –a su vez- en su expediente académico.

En consecuencia la difusión de dichas notas de calificación a través de los

tablones de anuncios de la Universidad, constituirá una cesión de datos de carácter

personal de los alumnos no autorizada por una norma con rango de ley formal. En

ese caso, atendiendo a la regulación de la Ley Orgánica (artículo 11.2. a), sería

necesario que cada alumno diera su consentimiento inequívoco para poder realizar

la publicación de las calificaciones, dado que estos supuesto no constituyen ninguna

de las excepciones legales para poder efectuar las cesiones sin consentimiento.

Por lo demás, no siendo conforme con lo dispuesto por la Ley Orgánica

15/1999 la referida publicación, no es menester analizar la procedencia de la

inclusión de determinado tipo de datos (D.N.I, Número de Expediente Personal de

los alumnos, o cualquier otro) a los que se refiere el consultante en su escrito,

cuando el consentimiento del afectado no ha sido convenientemente recabado.



8.2.10 Desde la OSE le preguntan al Vicerrector de Convergencia Europea si existe algún obstáculo para poder solicitar a los distintos servicios el acceso a los datos que ellos manejan. La finalidad es poder cumplimentar datos que solicitan desde la ANECA para poner en marcha, como procedimiento piloto, el sistema de acreditación

De acuerdo al contenido del artículo 21.1 LOPD los datos no podrán ser

cedidos entre Administraciones Públicas cuando los mismos respondan al ejercicio

de competencias diferentes o de competencias sobre materias distintas, excepto

que los datos se envíen por motivos estadísticos.

En este caso la cesión de datos se realiza por motivos estadísticos,

encontrándose amparada la cesión por la LOPD.

8.2.11 Tal y como hemos quedado, me he informado en el Vicerrectorado de Estudiantes y me han dicho que sí tenemos esos datos. Los centros de secundaria de La Rioja en los que se imparte bachillerato envían, cada año, esos datos a la Universidad para preparar la Selectividad. Los datos se graban en programa AGORA y están disponibles en el Servicio de Gestión Académica.

De acuerdo al contenido del artículo 21.1 LOPD los datos no podrán ser

cedidos entre Administraciones Públicas cuando los mismos respondan al ejercicio

de competencias diferentes o de competencias sobre materias distintas, excepto

que los datos se envíen por motivos estadísticos.

En este caso la comunicación de los datos se realiza en el marco de

competencias comunes entre administraciones, la enseñanza reglada en todos sus

niveles en La Rioja, y por lo tanto tal comunicación encuentra amparo en el citado

artículo.

Como todas las comunicaciones de datos entre las administraciones

reguladas por el artículo 21 no se requerirá el consentimiento del titular para la

comunicación.

8.2.12 Igual que el año pasado necesitamos para realizar la difusión de las Becas de Colaboración 2006-2007, en el marco del Convenio Marco Parlamento de La Rioja-Universidad de La Rioja, los siguientes datos: -Relación de los alumnos en tercer curso de la Licenciatura de Derecho con medias académicas superiores a 6,5 -Nombre y dirección postal. He pedido también a la Secretaria General la oportuna autorización que me imagino que os la hará llegar en breve.

La publicidad de ayudas y becas deberá hacerse siguiendo las reglas

normales de publicación de las convocatorias (mediante tablones, en la página web,

etc.) no siendo necesario para ello el empleo de datos de carácter personal de

ningún tipo, por lo que no procede la consulta de datos ni el uso de los mismos con

esa finalidad.

manual de pdur - unirioja.es pdur.pdf · manual de introducción a la protección de datos...

Documents