iii sesión abierta 2010 - consultas

1Agencia Española de Protección de Datos

3ª SESIÓN ANUAL ABIERTA DE LA AEPDConsultas planteadas por los asistentes

Agustín Puente Escobar Jesús Rubí Navarrete

María José Blanco AntónJosé López Calvo

Ricard Martínez MartínezMadrid, 20 de octubre de 2010


CON LA RECIENTE LEY 10/2010 DE 28 DE ABRIL, DE PREVE NCIÓN DEL BLANQUEO DE CAPITALES Y LA FINANCIACIÓN DEL TERRORI SMO, ENTIENDO QUE SE TIENE DE DECLARAR UN NUEVO FICHERO EN LAS ENTIDADES FINANCIERAS DE NIVEL ALTO ¿ES CORRECTO?¿Y OBLIGATORIO?¿QUÉ CAMPOS DEBE DE LLEVAR EL FICHERO? ¿ QUÉMEDIDAS DE SEGURIDAD SON NECESARIAS PARA ESTE TIPO DE FICHERO DE "NIVEL ALTO"?

La Ley 10/2010 impone a los sujetos obligados una s erie de deberes que implican el tratamiento de datos personales de los clientes. En concreto, se deben tener en cuenta las medidas de diligencia deb ida y examen especial de operaciones.

Lo sujetos obligados deberán contar adem ás con un órgano específico para la prevención que, lógicamente, llevará a cabo los tratamientos de estos datos y creará a tal efecto sus propios ficheros

Estos ficheros estarán sujetos a un régimen especia l, cuyas características aparecen recogidas en los artículos 32 y 33 de la L ey. SU extensión será la necesaria para el cumplimiento de las obligaciones que aquélla impone

Las medidas de seguridad habrán de ser las de nivel alto, tal y como establece la propia Ley, siendo de aplIcacIón para e llo las normas generales de la LOPD y el RLOPD.


¿SE CONSIDERA QUE SE ATENTA CONTRA EL ARTÍCULO 4 DE LA LOPD, POR EJEMPLO, SI SE LE INFORMA AL AFECTADO DE QUE LOS DATOS DE SU CURRICULO SE MANTENDRÁN DURANTE 5 AÑOS PARA TENERLO EN CUENTA EN FUTURAS SELECCIONES DE PERSONA L?

La conservación de los datos deberá ir vinculada a l a finalidad para la que los datos fueros tratados y que fue informad a al afectadoconforme exige la LOPD

Adem ás, el tratamiento al que se refiere la pregunta, a ún vinculado en parte a la existencia de una relación jurídica c on la empresa debería ser objeto de información específica al interesado, de forma que pudiera decidir si quiere que los datos sigan siendo objeto de tratamiento durante el plazo de cinco años.

Si no se informase claramente de esta circunstancia y no se diera al interesado la posibilidad de manifestar su opinión el tratamiento podría contravenir los artículos 4 y 6 de la LOPD


¿SE CONSIDERAN DATOS DE SALUD LOS QUE SE ENCUENTRAN DESCRIBIENDO EL ACCIDENTE Y LA PARTE DAÑADA DEL CUE RPO (SIN DIAGNÓSTICO MÉDICO) EN LOS INFORMES DE INVESTIGACIÓ N DE ACCIDENTES QUE LA LEY DE PREVENCIÓN DE RIESGOS LABO RALES OBLIGA A CUMPLIMENTAR A LA EMPRESA ANTE UN ACCIDENTE DE SU S TRABAJADORES?

Sí, conforme al amplio concepto de datos de salud p revisto en el RLOPD¿EL EMPRESARIO DEBE DE OBTENER EL CONSENTIMIENTO DE L TRABAJADOR PARA TRATAR LOS DATOS DE SALUD CUANDO AQUEL CUMPLE CON SU OBLIGACIÓN LEGAL DE ENVIAR POR EL SISTEMA DELT@ LA COMUNICACIÓN DE ACCIDENTES (CON O SIN BAJA MÉDICA) Y FALLECIMIEN TOS DE ACCIDENTADOS, CUYA COMUNICACIÓN CONTIENE DATOS DE S ALUD? ¿O PODRÍA ENTENDERSE QUE ES UNO DE LOS SUPUESTOS RECOGIDOS EN EL ART. 6.2 DE LA LOPD Y 12.1 DEL REGLAMENTO?

La LPRL impone al empresario una serie de deberes d e información, entre los que se encuentra la comunicación de la información a la que se refiere esta cuestión “a la autoridad laboral”

En consecuencia, la cesión está amparada por una nor ma con rango de Ley y por tanto es conforme al artículo 7.3 de la LOPD.

El artículo 6 no es aplicable, porque se está hacien do referencia a datos de salud


EL ARTÍCULO 256.6º DE LA LEY DE ENJUICIAMIENTO CIVIL PERMITE A LAS ASOCIACIONES DE CONSUMIDORES INSTAR DILIGENCI AS PRELIMINARES PARA AVERIGUAR LOS INTEGRANTES DE UN G RUPO AFECTADO POR UN DETERMINADO HECHO DAÑOSO. ¿PUEDE LA PARTE DEMANDADA FACILITAR A LA ASOCIACIÓN DEMANDANT E LOS DATOS PERSONALES DE LOS INTEGRANTES DE ESE GRUP O SIN EL CONSENTIMIENTO DE ÉSTOS? ACLARACIÓN DE LOS LÍMIT ES DE LOS SUPUESTOS EXCLUIDOS

La LEC prevé que el juicio podrá prepararse “Por peti ción de quien pretenda iniciar un proceso para la defensa de los intereses colectivos de consumidores y usuarios al objeto de concretar a los integrantes d el grupo de afectados cuando, no estando determinados, sean fácilmente determinab les”

En ese caso, añade que “A tal efecto el tribunal ad optará las medidas oportunas para la averiguación de los integrantes d el grupo, de acuerdo a las circunstancias del caso y conforme a los datos sumi nistrados por el solicitante, incluyendo el requerimiento al demandado para que c olabore en dicha determinación”

Por tanto no es necesaria la comunicación a la asoc iación de consumidores, sino que la misma podrá provenir de un requerimiento judicial, en cuyo caso la cesión estará amparada por el artículo 11.2 d) de la LOPD


SI EL RESPONSABLE DEL FICHERO ES NO RESIDENTE Y EL ENCARGADO DEL TRATAMIENTO ES RESIDENTE Y EL CONTRAT O DE PRESTACIÓN DE SERVICIOS ESTÁ SOMETIDO A LA LEGISLACI ÓN ESPAÑOLA. EN MATERIA DE PROTECCIÓN DE DATOS, ¿QUÉ LE Y SE APLICA: LA LOPD O LA LEY DE PROTECCIÓN DE DATOS DEL PAIS EN QUE TIENE SU RESIDENCIA EL RESPONSABLE DEL FICHERO?

A los efectos de la aplicación de la legislación de protección de datos resulta irrelevante el fuero al que se someta n las partes en el contrato de encargo del tratamiento

La legislación aplicable en el caso planteado depen derá del lugar en que se encuentre el establecimiento del responsable para el que se traten los datos:– Si estuviera en el Espacio Económico Europeo, sería aplicable la

Ley del Estado del responsable, salvo en lo referen te a las medidas de seguridad, en que se aplicarían la LOPD y el RLO PD

– Si estuviera fuera del Espacio Económico Europeo, e l tratamiento estaría íntegramente sometido a la LOPD


¿SE PUEDE EN UN SITIO WEB, TENER UNA OPCIÓN DE MENÚCON LOS CLIENTES QUE HA TENIDO SU NEGOCIO? SI LA RESPUESTA ES SI ¿QUE RESTRICCIONES EXISTEN?

Como premisa se parte de que no nos encontramos ant e las excepciones de los artículos 2.2 y 2.3 del RLOPD

En este caso se estaría realizando un tratamiento d e los datos de los clientes, consistente en la difusión de su c ondición de tales a través de Internet

Ese tratamiento excede de la relación jurídica del cliente con la empresa, por lo que necesitará el consentimiento del cliente


OBLIGACIONES RESPECTO A LA LEY ORGANICA 15/1999, EN LOS OBISPADOS, SI DEBEN DE CUMPLIR, QUE FICHEROS NO DEB EN DE CUMPLIRLA POR NO ESTAR DENTRO DE SU AMBITO DE APLIC ACIÓN, ETC...

Con carácter general no existe ninguna norma ni pro nunciamiento judicial que excluya a los Obispados de la aplicaci ón de las normas de protección de datos de carácter personal

En consecuencia, sería aplicable la Ley siempre que la actividad realizada se encuentre dentro del ámbito de aplicac ión de la misma; es decir:– Siempre que se realice un tratamiento automatizado de datos– Cuando se realice un tratamiento no automatizado de datos y los

mismos estén incluidos o estén destinados a ser inc luidos en un ficheroEn el segundo caso, deberá tenerse en cuenta la doct rina derivada

de la STS de 19 de octubre de 2008 y las que la repr oducen


A LOS EFECTOS DE DETERMINAR LEGALMENTE LA REPRESENT ATIVIDAD DE UNA ASOCIACIÓN EN UN PROCEDIMIENTO ESPECÍFICO CO NVOCADO A ESE EFECTO, Y TENIENDO EN CUENTA QUE EL CRITERIO PREDOMINANTE A TENER EN CUENTA ES LA AFILIACIÓN: ¿T IENE LA ADMINISTRACIÓN ALGUNA LIMITACIÓN A LA HORA DE SOLIC ITAR A LA ASOCIACIÓN LOS DATOS PERSONALES DE LOS AFILIADOS?

La transmisión a la Administración competente supon drá una cesión de datos de carácter personal. En consecuencia, deberá encontrarse amparada en el artículo 11 de la LOPD para poder ser conform e a la mismaPor ello, habrá que estar a la regulación aplicable al procedimiento concreto en que se solicita la información y si existe una n orma con rango de Ley que habilita la cesión

En todo caso, deberá tenerse en cuenta el principio de proporcionalidad, de forma que si la representatividad puede determin arse sin acceder a la relación nominal de asociados debería optarse por e sta opción

En caso de que la información implique el tratamien to de datos especialmente protegidos, debería estarse a las esp ecialidades del artículo 7 de la LOPD


LA EMPRESA A DISPONE DE UN FICHERO CON DATOS DE CON TACTO DE SUS CLIENTES, CON LOS CAMPOS DEL ART. 2.2. DEL REGL AMENTO. ¿SERÍA UN FICHERO A EFECTOS DE LOPD SI SE ENVÍA PUB LICIDAD DE LOS PRODUCTOS A DICHOS CLIENTES? ¿Y SI FUERA UN FIC HERO SÓLO DE CONTACTOS AÚN NO CLIENTES DE A?

Con independencia de la condición concreta de los a fectados, el artículo 2.2 de la LOPD únicamente será aplicable en caso de que los datos se limiten a los citados en ese artículo y la referencia a la persona que ocupa el puesto sea meramente “incidental”; es decir, la finalidad no sea contactar con la persona sino con el puesto

Por ello, habrá que estar a esa finalidad en cada ca soEN UN FICHERO CON EL CONTENIDO DE UNA LISTA DE CONT ACTOS CUYA FINALIDAD EXCLUSIVA ES MANEJAR EL PLAN DE CONTINUID AD DE NEGOCIO DE UNA INSTITUCIÓN ¿SE PUEDEN CONSIDERAR EL TELEFONO Y EL E-MAIL PARTICULAR COMO PROFESIONALES?

SI bien no aparece clara la finalidad a la que se r efiere la pregunta, dado que se hace referencia al teléfono y correo particu lar de los interesados no sería aplicable la excepción del artículo 2.2 del R LOPD¿LOS DATOS RELATIVOS AL NÚMERO DE DNI Y LA FIRMA MA NUSCRITA DEL REPRESENTANTE LEGAL DE UNA SOCIEDAD INCORPORADO S A UN CONTRATO SON DATOS PERSONALES O SE ENCONTRARÍAN EXC LUIDOS DEL ÁMBITO DE APLICACIÓN DE LA LOPD?

Estos datos exceden de los enumerados en el artícul o 2.2, por lo que no sería aplicable la excepción


EN UNA ENTIDAD FINANCIERA QUE GESTIONA SU CONTRATACIÓN Y TRAMITES A TRAVÉS DE LA LÍNEA TELEFÓNICA, ¿PUEDE UN CLIENTE QUE SE ENCUENTRA EN MOROSIDAD EJERCITAR EL DERECHO DE OPOSICIÓN A RECIBIR LLAMADAS TELEFÓNICAS DEL DEPARTAMENTO DE RECOBROS? LA RELACIÓN COMERCIAL NO SE ENCUENTRA EXTINGUIDA.

El acreedor está legitimado para el tratamiento de l os datos del deudor en virtud de la relación jurídica que les vincula (art. 6.2 LOPD). Por tanto, puede realizar las gestiones oportunas para el cobro de la deuda, incl uidas las llamadas telefónicas.

No obstante, vulneraría la LOPD si dirigiera las ll amadas a terceros distintos del deudor (vulneración del de ber de secreto)


¿PUEDE UN AGENTE DE RECOBRO LOCALIZAR DATOS TELEFÓNICOS DE UN CLIENTE CON BUSCADORES DE INTERNET?

La SAN de 14 de mayo de 2009, sintéticamente, señala :

• El deudor presta consentimiento para el tratamiento de datos en el marco de la relación contractual con el acreedor.

• Manteniéndose la relación contractual los datos que daron desactualizados.

• La relación jurídica legitima el tratamiento de dat os sin consentimiento.

• La empresa de recobro –encargada del tratamiento- por cuenta del acreedor puede obtener datos para el cumplimiento d el contrato como el domicilio y el número de teléfono para poder comuni car con él, especialmente, si está en mora y no cumple sus oblig aciones.


¿DÓNDE ESTÁ EL LÍMITE AL DERECHO DE INFORMACIÓN SOBRE LOS DATOS DE LOS TRABAJADORES/AS DE UNA ADMINISTRACIÓN QUE SE DEBEN SUMINISTRAR A LAS CENTRALES SINDICALES DE CARA A LAS ELECCIONES SINDICALES?

El Tribunal Constitucional ha señalado que el envío de información – incluido a través del correo electróni co- constituye un derecho de los sindicatos (libertad sindical)

Los trabajadores pueden ejercer el derecho de oposi ción a recibir tales comunicaciones, excepto en los períod os de elecciones sindicales, en los que prevalece el dere cho a la libertad sindical (TD/01119/2008).


¿UN ENCARGADO DE TRATAMIENTO TIENE ALGUNA RESPONSAB ILIDAD SI GESTIONA ADECUADAMENTE LOS DATOS DE SU CLIENTE, PER O EL CLIENTE NO LE HIZO FIRMAR CONTRATO RELATIVO AL MODO EN QUE DEB EN GESTIONARSE ESOS DATOS?¿HA INCUMPLIDO SU DEBER EL CLIENTE O TAM BIÉN EL ENCARGADO DE TRATAMIENTO?¿CUÁL DE LOS DOS ES SANCIO NABLE?

El artículo 12 LOPD exige para la lícita prestación de servicios que se regule en un contrato que permita acreditar su celebración y contenido.

La Audiencia Nacional ha señalado que no basta con acreditar la relación jurídica sino que debe poder acreditar su celebraci ón y un contenido mínimo que incorpore las garantías del art. 12 LOPD.

La obligación principal de celebrar el contrato es de quien encarga la prestación del servicio.

El encargado también ha de ser diligente en el cump limiento de la LOPD y podría ser sancionado.

La apreciación de la diligencia y la culpabilidad s ólo puede realizarse caso a caso.


¿PODRÁN LAS ADMINISTRACIONES PÚBLICAS REALIZAR UNA CESIÓN DE DATOS LIBRE ENTRE ELLAS GRACIAS A LA LEY 11/2007, DE MANERA QUE SE PUEDA USAR NORMALMENTE LO S DATOS DE LOS CIUDADANOS PARA CUALQUIER TRÁMITE ADMINISTRATIVO SEA O NO EL RELACIONADO CON EL ÁMBIT O DE LA RECOGIDA DE LOS DATOS? ¿EN QUÉ CASOS SE PUEDE CEDER DATOS A TERCEROS? Y ¿CUÁL ES EL PROCEDIMIENTO?

Las Administraciones públicas podrán ceder los dato s de los ciudadanos cuando estos ejerzan su derecho a no aportar los datos y documen tos que obren en poder de dichas Administraciones y presten su consentimiento para ello.

La disponibilidad de los datos estará limitada a aqu ellos que les son requeridos (art. 6.2.b y 9 de la Ley 11/2007).

En los restantes casos, la cesión de datos entre AA PP puede llevarse a cabo sin consentimiento cuando se realice para el ejercicio de funciones similares o exista una habilitación legal, o la comunicación tenga por objeto el tratamiento de datos con fines históricos, estadísticos o científicos (art. 21 LOPD).


GARANTÍAS A ADOPTAR POR EMPRESA ANUNCIANTE PARA LA CONTRATACIÓN CON UN TERCERO DEL ENVÍO DE UN E-MAILI NG O SMS A BASES DE DATOS EXTERNAS, PROPIEDAD DE ESE TERCERO P ARA PROMOCIONAR UN PRODUCTO O SERVICIO DE LA ENTIDAD QU E CONTRATA Y QUE ACTÚA COMO ANUNCIANTE Y BENEFICIARIO DEL ENVÍO Y PROPONE AL 3 LOS PARÁMETROS IDENTIFICATIVOS DE LOS DESTINATARIOS .

Si es una base de datos con direcciones de correo e lectrónico se aplicaría la LSSI y se sancionaría a quien realice los envíos (titula r de la base de datos o anunciante, en su caso).

El anunciante que fija los parámetros debe adoptar las medidas necesarias para asegurarse de que la entidad contratada cumple la L OPD (art. 46.3 RLOPD).

SAN 21-Mayo-2009

La existencia de culpa requiere la falta de control por el anunciante en realizar las comprobaciones.

El anunciante suscribió un contrato que incluía:

• Los datos son recogidos de fuentes accesibles al pú blico o de los afectados con su consentimiento.

• El anunciante debía devolver o destruir los datos s in poder guardar copia.

• Se previó que los datos fueran de mayores de 18 años .

Las precauciones adoptadas por el anunciante fueron máximas.


GARANTÍAS PARA PROCEDER A CESIONES DE DATOS ENTRE EMPRESAS DE UN MISMO GRUPO

Las cesiones de datos entre empresas del grupo han de estar legitimadas por el consentimiento del afectado, existir una habilitación legal o ser necesarias para el cumplimiento o control de una relación jurídica previa .


¿EL DATO RELATIVO AL N ÚMERO DE MATRÍCULA DE UN VEHÍCULO, POR SÍ SÓLO, ES UN DATO PERSONAL?

El número de matrícula de un vehículo es un dato personal, ya que puede asociarse a una persona identificable sin un esfuerzo desproporcionado, acudiendo al Registro de Vehículos regulado por el RD 2822/1998, de 23 de diciembre, de titularidad de la Dirección General de Tráfico, cuya finalidad esenci al es la identificación del titular, para lo cual únic amente será necesaria la invocación del interés legítimo de l solicitante (Informe de Gabinete Jurídico 0425/2006 en aptdo. Web “Conceptos Generales”).


¿ SE NECESITA INSCRIBIR LOS FICHEROS DE LAS UNIONES TEMPORALES DE EMPRESAS? ¿QUÉ RESPONSABILIDAD TIENEN CADA UNA DE LAS EMPRESAS?

• En una Unión Temporal de Empresas cada empresa conserva su personalidad jurídica y su responsabilidad individual.

• Sólo será necesario inscribir ficheros nuevos en el caso de que el objeto de la UTE requiera realizar tratamientos de datos diferentes de los notificados por parte de cada una de las empresas.


¿DEBE UN PARTICULAR O LA COMUNIDAD DE PROPIETARIOS REGISTRAR SUS ARCHIVOS DE DATOS?

• Sólo se encuentran excluidos de la LOPD, y por lo t anto de la notificación al RGPD, los ficheros o tratamiento s realizados o mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o dom ésticas.

• Los ficheros que pueda crear una persona física fue ra del ámbito estrictamente personal o dom éstico, en el desarrollo de una actividad profesional, mercantil, comercial, … están sujetos a la LOPD y son objeto de inscripción en el RGPD.

• Los ficheros de la comunidad de propietarios no se consideran ficheros de uso personal o dom éstico.


¿POR QUÉ LA AEPD EXIGE REQUISITOS ADICIONALES PARA L A AUTORIZACIÓN DE UNA TRANSFERENCIA INTERNACIONAL A L A SUSCRIPCIÓN DE LOS MODELOS DE CONTRATO BASADOS EN L AS CLÁUSULAS CONTRACTUALES APROBADAS POR LA COMISIÓN, P.E. CLÁUSULA 12 RELATIVA A LAS OBLIGACIONES UNA VEZ FIN ALIZADA LA PRESTACIÓN DE LOS SERVICIOS DE TRATAMIENTO DE LOS D ATOS DE CARÁCTER PERSONAL?

– Las Decisiones de la Comisión establecen modelos de cláusulas contractuales tipo.

– Es necesario adaptar el modelo a la situación concr eta de la transferencia: descripción de la transferencia, finalidades, categ orías de colectivos, categorías de datos, …. datos especialmente protegi dos o no, medidas a adoptar en la conclusión del contrato.

– Cláusula 12 (Obligaciones una vez finalizada la pre stación de los servicios de tratamiento):

• devolver los datos personales, o• destruirlos por completo y certificar,• salvo que la legislación aplicable al importador le impida devolver o

destruir los datos transferidos– Si al celebrarse el contrato se definen las medidas a adoptar cuando éste

concluya, la cláusula 12 debe adecuarse a la situac ión. En caso de que esto no sea posible mantener la redacción de la cláusula 12.


¿ SE CONSIDERAN TRANSFERENCIAS INTERNACIONALES DE DATOS LAS COMUNICACIONES A LA CIUDAD DEL VATICANO, Y CÓMO ACTUAR EN ESTOS CASOS?

– Constituye una transferencia internacional de datos cualquier tratamiento de datos que requiera la transmisión de datos fuera del Espacio Económico Europeo.

– La Ciudad del Vaticano no forma parte del Espacio Económico Europeo ni es un país con nivel adecuado de protección.

– Las transferencias a terceros países requieren:• Autorización del Director de la Agencia, o• Encontrarse amparadas en un supuesto del art. 34

LOPD (excepciones a la Autorización), entre los que se encuentran la existencia de consentimiento del interesado, la existencia de un Convenio internacional en el que España forme parte .


¿SE MODIFICARÁ LA NORMATIVA SOBRE TRANSFERENCIAS INTERNACIONALES DE DATOS, A RAÍZ DE LA NUEVA DECISI ÓN 2010/87/UE SOBRE ENCARGADOS DEL TRATAMIENTO Y LA PROBLEMÁTICA DE LOS CONTRATOS DE OUTSOURCING DE CLOUD COMPUTING?

– Las transferencias internacionales de datos están r eguladas por la LOPD y el RLOPD

– La Decisión 2010/87/UE aporta flexibilidad en relac ión con las prestaciones de servicios fuera del territorio español y la subc ontratación posterior

– La Decisión 2010/87/UE permite a las autoridades de control aplicar este modelo de cláusulas a situaciones en las que la pre stación de servicios se realice en territorio español siempre que se adopte n las garantías que establece la propia Decisión en las subcontratacion es posteriores en terceros países (considerando 23)

– El RLOPD define al exportador de datos como la enti dad establecida en España que realiza transferencias internacionales d e datos

– Posibilidad: • autorización de transferencias internacionales a en cargados de

tratamiento (exportadores de datos establecidos en España) basadas en un acuerdo marco con subencargados (fuera de España) que recojan todas las garantías de la Decisión 2010/87/UE para encargados

• notificación posterior de los ficheros objeto de tr ansferencias internacionales por cada responsable, que firma un contrato de prestación de servicios autorizando la subcontratac ión con un encargado que tiene otorgada una autorización


EXISTEN RESOLUCIONES DE LA AGENCIA DONDE DISPONEN QUE DATOS PERSONALES QUE APARECEN EN PÁGINAS WEB DEBEN SER SUPRIMIDOS. EN EL CASO QUE HAGAN CASO OMISO, ¿ACTÚA LA AGENCIA DE PROTECCIÓN DE DATOS PARA QUE SE CUMPLA DICHA RESOLUCIÓN?En el supuesto de que el solicitante haya requerid o la supresión de im ágenes suyas y no se haya realizado se darían las circunstancias para requerir la tutela d e la Agencia o solicitar la iniciación de una procedimie nto sancionador que se inicia por el Director de oficio en función de las circunstancias concurrentes (identificabilidad, im ágen en prensa …)


¿SANCIONARÁ LA AEPD A PARTICULARES POR GRABACIÓN DE IMÁGENES YA SEAN RECOGIDAS POR VIDEOVIGILANCIA O POR CÁMARAS FOTOGRÁFICAS M ÓVILES, ETC..? ¿ES SANCIONABLE QUE UN PARTICULAR SUBA A LA RED LA IMAGEN DE OTRO PARTICULAR SIN SU PERMISO?

La captación de im ágenes encuentra una excepción, desde el régimen de protección de datos personales, en el ám bito dom éstico. En tal exclusión se encontraría la captació n de imágenes con cámaras fotográficas m óviles personales. No obstante, la inclusión en Internet desborda el ámbi to dom éstico con lo que deben mantenerse únicamente si disponen del consentimiento de las personas cuya imagen se inclu ye.


VIDEOVIGILANCIA: INSTALACIÓN MUY FRECUENTE DE MONITORES DE VISUALIZACIÓN DEL CIRCUITO EN ZONA DE COMERCIOS DONDE PUEDEN VER LAS IMÁGENES TODOS LOS CLIENTES Y TRABAJADORES QUE ACCEDEN A LA TIENDA. SUELEN INSTALARSE EN ESAS ZONAS COMO ELEMENTO DISUASORIO. ¿ES SANCIONABLE QUE EL MONITOR NO ESTÉ EN UNA ZONA DE ACCESO CONTROLADO Y RESTRINGIDO?

El principio de proporcionalidad debe aplicarse tam bién a la visualización de im ágenes captadas con cámaras. Así, no concuerda con tal principio la opción de visiona do por todos los vecinos de una comunidad de las im ágenes de las cámaras en el portal a través de un canal de te levisión. Tampoco lo sería la visualización indiscriminada in stalando el monitor en una zona de acceso no restringido y controlado.


• FICHEROS DE VIDEOVIGILANCIA QUE CAPTEN IM ÁGENES SUSCEPTIBLES DE INVESTIGACION POLICIAL. BLOQUEO Y CUSTODIA. OBLIGACIONES.

• Rige con carácter general el deber de bloqueo.• Los ficheros privados de videovigilancia: no tienen por

finalidad vigilar la vía pública.• Pueden notificarse en el marco de la denuncia prese ntada

por el interesado.• La cesión de datos puede estar amparada por el artí culo 22

LOPD. Debería documentarse:– El requerimiento de la autoridad policial o judicia l.– La salida y entrega de datos.


• ¿QUÉ LIMITACIONES TIENE COLOCAR CAMARAS IP DE VIDEO EN EL PUESTO DE TRABAJO? Y EN LA OFICINA EN GENERAL , ¿DONDE PUEDO COLOCARLAS?

• Legitimación (artículo. 20.3 ET).• Deber de información previa:

– Representación sindical: comité de empresa o delegados de personal.

– Información al afectado.• Proporcionalidad.

– Respeto a la dignidad del trabajador.– Intervención m ínima: medida menos gravosa.– Idoneidad: medida m ás adecuada.

• Garantía de los derechos y principios de protección de datos.

• Nunca se colocarán espacios de “vida privada” como baños o vestuarios.


• EN LA SALIDA DE SOPORTES INFORM ÁTICOS, ¿SI SE TRATA DE UN SOPORTE QUE SALE DIARIAMENTE, ES NECESARIO INTRODUCIR DIARIAMENTE SU SALIDA O SE PUEDE MARCAR "DIARIAMENTE" Y NO TENER QUE RELLENARLO DÍA A DÍA?.

• Existen elementos en una salida de soportes diaria que suelen ser comunes: autorización del responsable, t ipo de datos, medio o soporte con el que se envían, destin atario … Nada obsta a la presencia en el documento de segur idad de una autorización general que recoja estos elemen tos comunes. Sin embargo, el registro provee de trazabi lidad por tanto los elementos variables, -que salgan en h oras distintas, que por una situación de ILT cambie el u suario que lo realiza etc.-, deberán registrarse.


• ¿QUE MEDIDAS DE SEGURIDAD HAY QUE APLICAR A UN FICHERO DE PAPEL QUE CONTIENE CURRICULUM, LAS DE NIVEL BÁSICO O MEDIO?

• En este ámbito deben diferenciarse distintos elemen tos:– La naturaleza de los datos que requieran.– La finalidad que se persiga.– La capacidad de tratamiento en relación con la fina lidad.

• Si expresamente se excluye por la empresa que se in cluyan datos a los que se deba aplicar un nivel básico o alto se podría dar una situación de incidentalidad, y un nivel básico.

• Si no se dispone de medios para tratar los datos co n el fin de obtener una evaluación de la personalidad y si adem ás no se persigue tal finalidad el fichero podría ser de niv el básico.

• Si se dispone de medios, o se persigue el establece r aspectos como “proactividad”, “capacidad de trabajo en equip o”, “liderazgo” etc., el fichero sería de nivel medio.

• Si se oferta un puesto a personas con discapacidad podría ser de nivel alto.


• REQUISITOS PARA ESTABLECER LOS INVENTARIOS DEL SOPORTE PAPEL.

• Las medidas relativas a la gestión de soportes y documentos se aplican a los ficheros no automatizad os. Evidentemente, los requisitos se ajustarán a las condiciones del fichero concreto del que se trate, del soporte etc. No es lo mismo un fichero con currícul os, con historias clínicas o con negativos fotográficos. Lo que con toda seguridad incidirá en el inventario va a ser el criterio de archivo que se establezca.


• ¿QUÉ MEDIDA DE SEGURIDAD SERÍA EQUIVALENTE A LOS REQUISITOS DEL ARTÍCULO 113.2 DEL RD 1720/2007? ¿BASTARÍA CON UN REGISTRO DE ACCESOS O DEBERÍAN INCLUIR SISTEMAS DE IDENTIFICACIÓN PARA EL ACCESO A LOS ARMARIOS CON DOCUMENTACIÓN?

• El precepto se refiere al acceso a documentos, de u n interpretación sistem ática del RD se derivaría que:– Debe existir una lista de usuarios autorizados.– La profundidad de la trazabilidad alcanza al expedi ente

o incluso al documento.• Hay que disponer de algún registro que alcance al

expediente, cuando este se retira completo, o al do cumento según los casos.


• ¿ES NECESARIO DETALLAR EXPRESAMENTE TODAS Y CADA UNA DE LAS CONCRETAS MEDIDAS DE SEGURIDAD A ADOPTAR EN UN CONTRATO DE ENCARGADO DEL TRATAMIENTO O ES SUFICIENTE CON INDICAR ÚNICAMENTE EL NIVEL DE MEDIDAS DE SEGURIDAD QUE EL ENCARGADO DEL TRATAMIENTO DEBE CUMPLIR?

• La LOPD señala que en el contrato se estipularán la s medidas de seguridad (art. 12.3)

• El RLOPD parte de distintas premisas:– La diligencia en la elección del encargado (art. 20 .2).– La diferencia desde el punto de vista de la segurid ad de

distintos tipos de encargado y el deber de fijar po líticas específicas (art. 82).

– La recogida en el documento de seguridad del encarg o (art. 88).

– La posibilidad de delegar la llevanza del documento en el propio encargado (art. 88).

• Todos los preceptos apuntan en la misma dirección: no basta con una mera referencia al nivel de medidas a satisface r, deben definirse las condiciones de seguridad concretas.


• LAS MEDIDAS DE SEGURIDAD DE PROTECCIÓN DE DATOS DE NIVEL ALTO EN LA EMPRESA, ¿SE CUMPLEN PLENAMENTE CON LA IMPLANTACIÓN DE LAS ISO 27001 Y 27002?

• La aplicación de este u otros estándares de segurid ad puede contribuir al cumplimiento del RLOPD. Pero, l as obligaciones fijadas en el Reglamento, y el modo de documentarlas poseen un carácter normativo y deben cumplirse en sus propios términos.


• DE ACUERDO CON EL ARTÍCULO 96.1 DEL REAL DECRETO 1720/2007, ¿SE CONSIDERA LA FUSIÓN, ABSORCIÓN O ESCISIÓN DE EMPRESAS, MODIFICACIONES SUSTANCIALES EN EL SISTEMA DE INFORMACIÓN, Y SERÍA NECESARIO REALIZAR UNA AUDITORÍA DE CUMPLIMIENTO DE LAS MEDIDAS DE SEGURIDAD DEL REAL DECRETO?

• Si de lo que se trata es de anotar en el documento de seguridad un cambio de responsable: NO

• Si se trata de la implantación de una nueva cultura corporativa, migraciones de datos a otros servidores, integración de carteras de clientes, cambios físicos o cualesquiera otros siempre que el proceso de que se trate pudiera poner en riesgo la seguridad de los datos: SI


• COMO REGLA GENERAL, ¿QUÉ NIVEL DE SEGURIDAD AFECTA A LAS REDES SOCIALES QUE PIDEN DATOS BÁSICOS CON LOS CUALES HACEN SEGMENTACIÓN DE PERFILES CON FINES PUBLICITARIOS? ¿BÁSICO, MEDIO O ALTO?

• Si la segmentación de perfiles alcanza a definir co mo destinatario de la campaña un usuario concreto: MED IO.

• Si esa segmentación que alcanza a definir como destinatario de la campaña un usuario concreto se b asa en datos especialmente protegidos como salud o vida se xual: ALTO.


• UNA MANERA DE INFORMAR A LA CIUDADANÍA SOBRE SUS TRÁMITES CON LOS DISTINTOS ORGANISMOS DE UNA ADMINISTRACIÓN ES LLEVAR LA INFORMACIÓN RELEVANTE A UN PUNTO Y MANTENERLA ACTUALIZADA. ¿CUÁL ES LA MEJOR MANERA DE REGULAR ESA POSIBLE "CESIÓN" (O NO) ENTRE LOS ORGANISMOS Y EL PUNTO CENTRAL SIN "BUROCRATIZAR" LA GESTIÓN Y SIN EXIGIR NECESARIAMEN TE EL CONSENTIMIENTO DEL CIUDADANO, PENSANDO SIEMPRE QUE EL OBJETIVO ES CUMPLIR LA ATENCIÓN ON-LINE?

• Si la información online sobre trámites no requiere identificar a un ciudadano no se aplicaría la LOPD.

• Si se requiere identificación, al ir referida la pr egunta a las consultas sobre el estado de tramitación, existen d istintos escenarios:– Que el ciudadano se dirija “al informador” y se trat e de

un sistema que edite “información” tomada directamente, actuando como encargado.

– Que se cedan datos. La LAE establece para la interoperabilidad consentimiento expreso o habilita ción legal.


• ¿COMO AFECTA EL ESQUEMA NACIONAL DE SEGURIDAD (RD 3/2010) AL CONTENIDO DEL DOCUMENTO DE SEGURIDAD? ¿Y SI LOS FICHEROS DE LA SEDE ELECTRÓNICA DEBEN INSCRIBIRSE POR SEPARADO DE LOS YA INSCRITOS ANTERIORMENTE Y CON IGUAL FINALIDAD EN LA ADMINISTRACIÓN?

• El Esquema Nacional integra sus políticas de seguridad con las del RLOPD. El documento de seguridad previsto en esta norma podría ampliarse e integrarse con los del ESN pero siempre que garantice los objetivos de documentación del RLOPD.

• Será necesario inscribir o modificar el fichero cuando se trate de una nueva aplicación con características diferenciadas o bien se incorporen nuevas finalidades, usos, cesiones etc.


• PUEDE LA ADMINISTRACIÓN P ÚBLICA PROHIBIR EXTRAER FICHEROS INFORMÁTICOS EN SOPORTES EXTRAÍBLES.

• Debe fijar una política de autorizaciones para la salida de soportes fuera de la organización. El RLOPD exige autorización previa por el responsable o en el documento de seguridad y, en el nivel alto, cifrado de los soportes portátiles.


• EL FUNCIONARIO QUE TELETRABAJE, ¿SERÁENCARGADO DE TRATAMIENTO, CESIONARIO O USUARIO AUTORIZADO DEL FICHERO?, ¿DEBERÁIMPLANTAR EN SU DOMICILIO (PC Y ARCHIVO FÍSICO, EN SU CASO) LAS MEDIDAS DE SEGURIDAD APLICABLES A LOS EXPEDIENTES INCLUIDOS EN EL FICHERO DE LA ADMINISTRACIÓN?

• En principio será usuario del sistema de información.• Deberán implantarse medidas de seguridad. De

hecho, y a título de ejemplo, una de ellas podría consistir en definir un entorno de trabajo remoto con prohibición de guardar documentación en el domicilio y/o de permitir su visionado a usuarios no autorizados.


• SOLICITUD DE DERECHOS ARCO A TRAVES DEL PORTAL WEB

• Se somete a los requisitos generales pero con el deber de asegurar el carácter personalísimo del ejercicio disponiendo de m étodos de verificación de la identidad o la representación que se ostente.


• ¿EXISTE ALGUNA INICIATIVA PARA REGULAR LA PROTECCIÓ N DE DATOS PERSONALES CUANDO SE UTILICEN SERVICIOS DE CLOUD COMPUTING EN LOS QUE ES DIFÍCIL DETERMINAR LA LOCALIZACIÓN DE LOS DATOS FÍSICAMENTE?

• Se está estudiando implementar procedimientos en el marco de las TID

• La contratación de un proveedor de Servicios de Cloud Computing es un supuesto de tratamiento de los datos por cuenta de terceros y corresponde al responsable cumplir aquellos aspectos de la normativa vigente que le sean exigibles y en particular la relativa a:– La formalización de un contrato en los términos

exigibles conforme a la legislación española.– El cumplimiento, en su caso, de las reglas que

rigen las transferencias internacionales de datos.


• LA CUENTA DE CORREO ELECTRÓNICO Y RECURSO DE RED PERSONAL ASIGNADO A EMPLEADO PÚBLICO (ADMINISTRACIÓ N), JURÍDICAMENTE ES DE USO EXCLUSIVO CORPORATIVO, Y AS Í POR MOTIVOS DE IT, VACACIONES, ETC., ¿SE PUEDE AUTORIZA R ACCEDER A ELLOS PARA CONSULTAR SU CONTENIDO SIN NECESIDAD D E SU AUTORIZACIÓN? ¿PROCEDIMIENTO LEGAL?

• Debe definirse de modo preciso y con información previa el carácter corporativo de las cuentas.

• Deben fijarse las políticas que se seguirán en los supuestos de ausencia del trabajador/funcionario por un determinado periodo o en casos de urgencia.

• Es recomendable:– Desarrollar procesos de formación donde se

informe adecuadamente.– Documentar esta política. – Atribuir identidades no nominativas.


• SI FINALIZA LA RELACIÓN LABORAL, EVENTUAL, FUNCIONARIAL, ¿SE PUEDE ORDENAR ELIMINAR LA CARPETA DE RED?

• Debe ser una política preestablecida y clara que:– Defina los usos de la carpeta.– Defina las condiciones que darán lugar al borrado.– Tenga en cuenta posibles obligaciones de

conservación y/o bloqueo.– Contemple sistemáticamente una política rigurosa

de altas y bajas de usuarios.


Muchas gracias

iii sesión abierta 2010 - consultas

Education