el tres
DESCRIPTION
es una temaTRANSCRIPT
Curso LOPD 1
Curso LOPD 2
Tema 3
3. MOVIMIENTO DE DATOS.
Consentimiento previo y excepciones
1. Aspectos generales
Como ya se ha comentado al desarrollar el principio de calidad de los datos, los datos
personales no pueden emplearse para finalidades incompatibles con aquellas para
aquellas para las que hubieran sido recabados, pero sí pueden emplearse para muchas
actividades compatibles. Surge, de este modo, la denominada “comunicación o cesión
de datos a terceros”, así como el “movimiento internacional de datos”
Una actividad muy habitual entre las empresas hoy en día consiste en enviar grandes
cantidades de datos a terceros, ya sea para:
-Cumplir con obligaciones de tipo legal, como para que las empresas filiales reporten su
estado a la empresa principal.
-Externalizar diferentes servicios (asesoría laboral o contable, gestión de recursos
humanos, marketing, servicios informáticos, etc.). Esta externalización también
denominada Outsourcing, es una práctica cada día más frecuente, que permite a las
empresas centrarse en la actividad principal y contar con servicios secundarios,
disminuyendo de esta manera los costes de naturaleza económica y organizativa.
Las mencionadas actividades conllevan, por tanto, un movimiento de datos fuera de la
empresa responsable de los mismos. En el caso de que la información que se remita
contenga datos de carácter personal, habrá que cumplir con las disposiciones de la Ley
Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal,
más conocida como LOPD.
Dependiendo del movimiento de datos personales que la empresa desee llevar a cabo
habrá que cumplir con unos u otros requisitos, por lo que, a continuación, se describirá
de la forma más clara posible los distintos tipos de flujos de datos que la LOPD
contempla, así como los requisitos que habría que adoptar en cada caso.
Curso LOPD 3
En concreto, la LOPD regula tres tipos de movimientos de datos, por lo que será
necesario desgranar las diferencias fundamentales entre los mismos. Estos movimientos
son:
- Cesión o comunicación de datos
- Acceso a datos por cuenta de terceros
- Movimiento internacional de datos
En relación a los mismos, para que se comprenda adecuadamente la diferencia entre
dichos movimientos, habrá que comenzar definiendo lo que la LOPD entiende por
tratamiento, que se define como "el conjunto de operaciones y procedimientos técnicos
de carácter automatizado o no, que permitan la recogida, grabación, conservación,
elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que
resulten de comunicaciones, consultas, interconexiones y transferencias". Esto quiere
decir que, por ejemplo, si una empresa contrata a una gestoría la gestión de nóminas del
personal, a una empresa de marketing para efectuar acciones publicitarias, o solicitase el
alojamiento de su intranet, bases de datos, página Web, en los servidores de un tercero,
existirá tratamiento y, por lo tanto, le será de aplicación la LOPD en estos movimientos
de datos.
En la mayor parte de los servicios de externalización de datos, se encuentra la
necesidad de tratar ficheros de datos de carácter personal e información confidencial
titularidad de la empresa que externaliza los servicios. La LOPD establece que en
estos supuestos existe un acceso a datos por cuenta de terceros, en el que intervienen
fundamentalmente dos figuras: el responsable del fichero (empresa que contrata y titular
del mismo) y el encargado del tratamiento (empresa contratada).
Llegados a este punto, es necesario definir legalmente el concepto de responsable del
tratamiento y de encargado del tratamiento. La LOPD los define como:
Curso LOPD 4
Definiciones de puestos:
Titular responsable del fichero
“Toda persona física o jurídica, de
naturaleza pública o privada u órgano
administrativo, que decida sobre la
finalidad, contenido y uso del
tratamiento”
Encargado del tratamiento
“ La persona física o jurídica, autoridad
pública, servicio o cualquier otro
organismo que sólo o conjuntamente con
todos, trate de personales por cuenta del
Responsable del Tratamiento”
La relación jurídica que se establece entre ambos, en el caso del acceso a datos por
cuenta de terceros (externalización de servicios), es normalmente una prestación de
servicios y, como tal, deberá estar regulada en un contrato, que comprenda además el
contenido del artículo 12 de la LOPD, que comentaremos con más detalle en el punto 3
de este modulo.
La justificación del tratamiento que el tercero (encargado del tratamiento) hace de los
datos, que ha de ser un tratamiento compatible, viene dada por el hecho de que el
acceso a la información de carácter personal es necesario para la prestación de un
servicio al responsable del tratamiento. Esta última cuestión es realmente
significativa, pues constituye la principal nota diferenciadora entre el acceso de
datos por cuenta de terceros y la cesión-comunicación de datos a terceros, dos figuras
que habitualmente suelen confundirse, pero que cuentan con regímenes jurídicos
diferentes. Sin embargo, las diferencias entre la cesión y el acceso a terceros no son sólo
importantes en relación a las formalidades jurídicas a adoptar, sino también lo son en
relación al régimen sancionador aplicable.
Curso LOPD 5
Según lo comentado, en el caso de la cesión o comunicaci6n de datos, el tercero
cesionario que trata los datos lo hace con una finalidad propia y no para prestar
un servicio a favor del responsable del fichero.
Esta comunicación de datos acontece en cualquier flujo de datos que se lleve
a cabo par imperativo legal, como por ejemplo, la cesión de datos a la Agenda
Tributaria, a la Mutua que actúa como el servicio de Prevención de Riesgos Laborales,
etc. También se incluyen las comunicaciones de datos que se producen entre empresas
pertenecientes a un mismo grupo, los flujos de datos entre la empresa principal y las
empresas filiales, etc.
Par el contrario, como ya hemos mencionado, se dice que existe acceso a los datos
por cuenta de terceros cuando se produzca una externalización de servicios u
outsourcing
Los artículos 11 y 12 de la LOPD se encuentran dirigidos a regular las condiciones
específicas de utilización de datos personales por terceros, bien por cesión o acceso.
Otro tipo de movimiento de datos, que es tratado específicamente en los artículos 33 y
34 de la LOPD, es el relativo al movimiento internacional de datos, el cual como
norma general está prohibido a países que no proporcionen el nivel de protección
equiparable al que presta la LOPD.
Los citados artículos se desarrollan con más detenimiento en los siguientes apartados (2,
3 y 4) de este módulo.
2. La comunicación de datos a terceros
El artículo 11 de la LOPD, con el título “Comunicación de Datos”, impone, con carácter
general, la obligación de informar-recabar el consentimiento del afectado de la
indicada comunicación. En el apartado 1 del citado artículo se dice, en concreto, lo que
sigue “Los datos de carácter personal objeto del tratamiento sólo podrán ser
comunicados a un tercero para el cumplimiento de fines directamente relacionados con
las funciones legítimas del cedente y del cesionario con el previo de consentimiento del
interesado”
Curso LOPD 6
Vamos a desglosar este artículo. Para ello es fundamental recurrir al concepto de
tratamiento.
La LOPD entiende por tratamiento el conjunto de "operaciones y procedimientos
técnicos de carácter automatizado o no, que permitan la recogida, grabación,
conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones
de datos que resulten de comunicaciones, consultas, interconexiones y transferencias".
Vemos que la comunicación o cesión de datos a terceros se considera un tratamiento y,
por tanto, le es de aplicación la LOPD.
Llegados a este punto es importante explicar en qué consiste la comunicación o cesión
de datos. En la comunicación el tercero cesionario (encargado del fichero) que trata
los datos, lo hace con una finalidad propia y no para prestar un servicio a favor del
cedente (responsable del fichero), ya que de existir esa prestación de servicio al
responsable del fichero hablaríamos de acceso de los datos por cuenta de terceros y no
de comunicación.
Es decir, la cesión o comunicación de datos comprende toda revelación de los mismos
realizada a una persona distinta del interesado.
Según el artículo 11 los datos solo pueden ser cedidos a un tercero para el cumplimiento
de fines directamente relacionados con las funciones legítimas del cedente y del
cesionario con el previo consentimiento del interesado.
Según el apartado 1 del artículo 27 de la LOPD (relativo a los ficheros de titularidad
privada) el responsable del fichero deberá informar de la comunicación de datos a
terceros a los interesados, indicando a su vez los siguientes aspectos:
- La finalidad del fichero
- La naturaleza de los datos que han sido cedidos
-El nombre y dirección del cesionario
Sin embargo en el apartado 2 de ese mismo artículo 27, se establece que no se estará
obligado a "Informar" al interesado en los siguientes casos:
- Cuando la cesión está autorizada en una Ley
Curso LOPD 7
- Cuando el tratamiento responda a la libre y legítima aceptaci6n de una relación
jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión
de dicho tratamiento con ficheros de terceros. En este caso la comunicación solo será
legítima en cuanto se limite a la finalidad que la justifique.
- Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del
Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el
ejercicio de las funciones que tiene atribuidas.
- Cuando la cesión se produzca entre Administraciones Públicas y tenga por objeto el
tratamiento posterior de los datos con fines históricos, estadísticos o científicos.
- En el caso de que el tratamiento de datos personales se realice mediante un proceso de
disociación (que no puedan asociarse los datos al interesado).
- En relación al consentimiento del interesado, la empresa no estará obligada a "recabar
el consentimiento" del afectado para la comunicación de los datos personales en los
siguientes casos indicados en el artículo; cuando la comunicación tenga por objeto el
tratamiento posterior de datos con fines históricos, estadísticos o científicos". Para
llevar a cabo esta comunicación, como ya se citó, no es preciso recabar el
consentimiento del afectado.
También se establece que podrán ser objeto de comunicación entre administraciones
públicas los datos de carácter personal que una administración pública obtenga o
elabore con destino a otra administración, sin necesidad de recabar el consentimiento
del afectado.
En el caso de que los datos sean obtenidos de fuentes de acceso público, la
comunicación de estos datos no podrá comunicarse sino con el consentimiento del
interesado o cuando una ley prevea otra cosa.
3. El acceso a los datos por cuenta de terceros
Los datos que se comunican al responsable de un fichero son para el uso de ese res
ponsable y no de terceros, es por ello por lo que los terceros no pueden tener acceso
legítimo a los datos, si no concurren las circunstancias que prevé la LOPD en su artí-
culo 12.
Curso LOPD 8
El artículo 12 se ocupa específicamente del acceso a los datos por parte de un tercero
cuando el mismo sea necesario para la prestación de un servicio al responsable del
fichero. Tal supuesto queda excluido el ámbito de aplicación del anterior artículo (11),
al establecer que este acceso no tendrá la consideración de comunicación (por
ejemplo, se incluiría en este epígrafe el servicio de mantenimiento llevado a cabo por
una empresa contratada al equipo informático del responsable del fichero).
De este régimen merece destacar la siguiente información:
La obligación legal, consistente en que la realización de tratamientos por
cuenta de terceros deba estar regulada con la suscripción de un contrato
por escrito, u otra forma que permita acreditar su celebración y conteni-
do. Hay que mencionar que es más conveniente la adopción de la forma escrita, ya que
permite una mayor facilidad probatoria ante el incumplimiento por parte del encargado
de sus obligaciones, dejando la comunicación verbal unilateral entre las partes como
solución provisional a la espera de que se suscriba definitivamente el contrato escrito.
- Dicho contrato deberá incluir, entre otras, las siguientes menciones:
• Indicación de que el encargado del tratamiento únicamente tratará los datos
conforme a las instrucciones del responsable del fichero.
• La finalidad del contrato y que los datos no serán utilizados o aplicados con
un fin distinto al indicado. Esta obligación es lógica, pues la justificación del acceso
reside en la necesidad para prestar un servicio, por tanto, una finalidad concreta y no
otra.
• Las medidas de seguridad que el encargado del tratamiento está obligado a
implementar. Esta es la principal obligación con la que se encuentran los encargados
del tratamiento, pues deben adoptar en su sistema de información unas medidas de
seguridad que dependen del nivel de sensibilidad de la información titularidad de su
cliente. Sin embargo, cabe mencionar que no es necesario enumerar las citadas medidas
de seguridad en el contrato, baste con indicar el nivel de seguridad exigido (besico,
medio o alto). En el caso de que el nivel a adoptar sea el alto, es importante hacer
mención a la obligación de implantar un nivel de seguridad alto, ya que este nivel
requiere no solo la aplicación de medidas de seguridad de índole organizativa, sino de
medidas técnicas cuyos costes son muy superiores a las de nivel besico y medio.
Incluso, se puede incluir en el contrato que el hecho de adoptar el nivel de seguridad
Curso LOPD 9
alto podre suponer una renegociación del mismo con el objeto de que repercuta en el
responsable del fichero parte del coste relativo a la adopción de medidas de nivel alto.
- No podrán comunicarse los datos, ni siquiera para su conservación, a otra
persona. Es decir, el cesionario no podre permitir al acceso a la información por
terceros (como puede ocurrir en la subcontratación).
- Se establece la obligación de destruir o devolver at responsable del fichero los soportes
o documentos en que consten datos de carácter personal. Es decir, una vez cumplida la
prestación contractual, los datos de carácter personal que obtenga el tercero deben ser
destruidos o devueltos al responsable del fichero (al igual que los soportes o
documentos en los que consten).
-El incumplimiento de cualquier obligación o estipulación del contrato (como el empleo
de los datos a otra finalidad), dará lugar a que el encargado del tratamiento sea
considerado, a los efectos de la ley, como responsable del tratamiento del fichero,
respondiendo de las infracciones en que hubiera incurrido personalmente. Aunque es
una obligación legal, es conveniente la introducción de esta cláusula en el contrato para
añadir la obligación contractual.
En resumen, cuando se traten por una empresa ficheros de datos de carácter personal, es
de aplicación la LOPD y, por tanto, hay que tener en cuenta las obligaciones y
responsabilidades establecidas en la misma. Además vemos que para proteger la
información confidencial de la empresa, cuando se produce un acceso por cuenta de
terceros, es necesario firmar un contrato de prestación de servicios e incluir en él
referencias al deber de confidencialidad y secreto. Para ello se puede incluir alguna
cláusula, bien en el contrato principal o bien en un contrato adicional o anexo al
contrato principal.
Un problema actual relacionado con el acceso de datos por cuenta de terceros es el
de la subcontratación, ya que cada vez es más frecuente la colaboración entre diversos
entes y personas en la prestación de servicios.
Por tanto cuando para la prestación del servicio por parte del subcontratista requiera el
acceso a la información de carácter personal del contratante (encargado), que trata
información por cuenta de un tercero (responsable), surge el problema de la
imposibilidad del encargado para comunicar los datos a los subcontratistas (terceros)
establecida en el citado artículo 12 de la LOPD
Curso LOPD 10
En este sentido, tras el análisis de la Memoria de la Agencia Española de Protección de
Datos (en adelante AEPD) del año 2000, pueden extraerse los siguientes requisitos de
subcontratación:
Que el responsable del tratamiento sea parte en la relación jurídica que regule la
subcontratación, por ejemplo, mediante la determinación de los servicios a subcontratar
en el contrato a firmar entre el responsable del tratamiento y el encargado del
tratamiento.
- Que el responsable del tratamiento disponga las instrucciones mediante las cuales el
subcontratista tratara los datos.
- Que en el contrato originario se establezcan las medidas de seguridad a adoptar por el
subcontratista.
4. Movimiento internacional de datos
A medida que la globalización avanza e Internet facilita el camino, la transmisión de
datos de carácter personal aumenta y, por tanto, las empresas deben ser conscientes de
que los datos de carácter personal se deben proteger. Hoy en día, uno de los valores más
importantes con los que cuenta una empresa es la información, es tan importante que
muchas de ellas se dedican exclusivamente a la recopilación de la misma, creando
ficheros y bases de datos. Un ejemplo de ello lo tenemos en las empresas de marketing,
para ellas los datos de carácter personal son muy valiosos, ya que les permiten identifi-
car y personalizar al consumidor y ofrecerle así los productos y servicios más adecuados
a sus necesidades.
Las nuevas tecnologías y la firme voluntad de crear una economía globalizada
conllevan un incremento de las transacciones mundiales, ello supone que también
los datos cada vez tienen más movilidad y, por lo tanto, se incrementa notablemente el
nivel de riegos de pérdida o manipulación de dicha información.
Dada su importancia, la transferencia internacional de datos se regula de forma
específica en el capitulo V de la LOPD, en concreto, en los artículos 33 y 34 A su vez,
la transferencia internacional de datos es tratada de en el Real Decreto 1332/1994 de
desarrollo de la LORTAD y, de forma concreta, en la Instrucción 1/2000 de la AEPD.
Curso LOPD 11
Según la mencionada instrucción, se considera transferencia internacional de datos
"toda transmisión de los mismos fuera del territorio español. En particular, se
consideran como tales las que constituyan una cesión o comunicación de datos y las
que tengan por objeto la realización de un tratamiento de datos por cuenta del
responsable del fichero".
La LOPD establece como norma general que no podrán realizarse transferencias
temporales ni definitivas de datos de carácter personal que hayan sido objeto de
tratamiento o hayan sido recogidos para someterlos a dicho tratamiento con
destino a países que no proporcionen el nivel de protección que presta la LOPD.
Existen dos órdenes por las que se declaran los Estados que ofrecen un nivel de
protección de datos equiparable al establecido en la legislación española, en concreto la
Orden del Ministerio de 2 de febrero de 1995, y por extensión la Orden de 31 de julio de
1998, por la que se ampliaba la relación contenida en la primera, las cuales han sido
derogadas por la LOPD que atribuye en exclusiva a la AEPD la potestad de resolver
sobre la materia.
La adecuación del nivel de protección que ofrece el país de destino lo evaluará la AEPD
atendiendo a:
- La naturaleza de los datos.
- La finalidad.
- La duración del tratamiento o de los tratamientos previstos.
- El país de origen y el país de destino.
- Las normas de derecho vigentes en el país tercero de que se trate.
-El contenido de los informes de la Comisión de la Unión Europea, así como las normas
profesionales y las medidas de seguridad en vigor en dichos países.
La transferencia de datos a países que no tengan el nivel de seguridad exigible está
prohibida, salvo que lo autorice el Director de la AEPD.
Curso LOPD 12
Sin embargo, la transferencia internacional de datos no se ciñe a lo anteriormente
expuesto en los siguientes casos:
Cuando la transferencia internacional de datos de carácter personal resulte de la
aplicación de tratados o convenios en los que sea parte España.
Cuando la transferencia se haga a efectos de prestar ó solicitar auxilio judicial
internacional.
Cuando la transferencia sea necesaria para la prevención o para diagnósticos
médicos, la prestación de asistencia sanitaria o tratamientos médicos o la gestión
de servicios sanitarios.
Cuando se refiera a transferencias dinerarias conforme a su legislación específica.
Cuando el afectado haya dado su consentimiento inequívoco a la transferencia
Curso LOPD 13
prevista.
- Cuando la transferencia sea necesaria para la ejecución de un contrato entre el
afectado. y el responsables del fichero o para la adopción de medidas precon-
tractuales adoptadas a petición del afectado.
-Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda
de un interés público.
-Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa
de un derecho en un proceso judicial.
-Cuando la solicitud de transferencia se efectúe, a petición de persona con interés
legitimo, desde un Registro público y aquella sea acorde con la finalidad del
mismo.
Curso LOPD 14
-Cuando la transferencia tenga como destino un Estado miembro de la Unión
Europea, o un Estado respecto del cual la Comisión de Comunidades Europeas, en
el ejercicio de sus competencias, haya declarado que garantiza un nivel de
protección adecuado.
Además de lo indicado en el título V de la LOPD, al respecto, la Agencia Española de
Protección de Datos ha procedido a dictar la ya mencionada Instrucción 1/2000, de 1 de
diciembre, sobre regulación de los movimientos internacionales de datos personales,
que ha permitido en gran medida esclarecer y facilitar la actuación de los responsables
de los ficheros en el ámbito del movimiento internacional de datos, cuestión que desde
la aprobación de la derogada Ley Orgánica 5/1992 (LORTAD) ha suscitado un gran
número de dudas por parte de los responsables de los ficheros. El motivo de estas dudas
probablemente se encuentre en el hecho de que las normas reguladoras en esta materia
contenidas en la Ley y sus normas de desarrollo hayan debido adaptarse a:
Las incluidas en los artículos 25 y 26 de la Directiva 95/46/CE del Parlamento
Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las
personas físicas en lo que respecta al tratamiento de datos personales y a la libre
circulación de estos datos.
Así como las decisiones que en cumplimiento de los citados preceptos se adopten
por la Comisión de las Comunidades Europeas
Curso LOPD 15
En esta instrucción de la AEPD (el artículo 37 de la LOPD) consagra la competencia de
la Agencia de Protección de Datos para “dictar, en su caso y sin perjuicio de las
competencias de otros órganos, las instrucciones precisas para adecuar los
tratamientos a los principios de la presente Ley” se accede al conocimiento de los
criterios de actuación de la AEPD ante este tipo de transferencias, ofreciéndose
concretas instrucciones para la realización de tales movimientos (sirve como modelo)
Por tanto, no es finalidad de esta Instrucción efectuar innovación alguna dentro de la
normativa reguladora de la protección de datos de carácter personal sino simplemente,
aclarar y facilitar a todo los interesados en un único texto, el procedimiento seguido por
la Agencia para dar cumplimiento a las previsiones contenidas en la diversidad de las
normas que se refieren al movimiento internacional de datos.
¡FIN DEL
TEMA 3!