Início » "Marketing y Protección de Datos (II): Requisitos generales comunes al tratamiento de Datos Personales"

"Marketing y Protección de Datos (II): Requisitos generales comunes al tratamiento de Datos Personales"

PorLucimara- Postado em 15 maio 2013

 

Las dos obligaciones que expondremos a lo largo de este Capítulo son aplicables al tratamiento de información cuando esta, sea considerada como a dato de carácter personal. Es por ello que para que dichas obligaciones sean aplicables, primeramente deberemos analizar si se cumplen los requisitos detallados en el Capítulo 1 para entender que efectivamente, nos encontramos ante un dato de carácter personal.

Adicionalmente, deben cumplirse otros dos requisitos a los descritos en el Capítulo 1, para que la LOPDsea aplicable, así como las obligaciones establecidas en este Capítulo:

  1. Los datos personales deben quedar archivados en un fichero. La definición de fichero establecida en la normativa en vigor es “Todo conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso”. Esta definición puede encontrarse en los artículos 3 b) LOPD y 5.1.k) RLOPD (la parte subrayada corresponde la modificación introducida por el Reglamento).

    Para poder decir por tanto, que nos encontramos ante un fichero, según lo establecido en la legislación vigente, será necesario que los datos sean organizados de tal forma, automatizadamente o no, que sea posible su ulterior tratamiento; en otras palabras los datos deben ser ordenados o estructurados de tal forma, para que estos puedan ser tratados. Un único dato o un conjunto de los mismos sin cumplir dichos requisitos de ordenación y estructura, no podría ser considerado como fichero resultando no aplicable, en este supuesto, la LOPD y demás normativa de desarrollo.

    En relación al concepto de fichero, resulta interesante el reciente Informe Jurídico 279/2009 de la AEPD, donde se indican los criterios que deberán seguirse para considerar que un grupo de datos, es o no un fichero. Así en relación a los ficheros en soporte papel, la AEPD resuelve que “la ordenación de los documentos por fecha no constituye un fichero, al no estar éste estructurado conforme a criterios relativos a las personas físicas, y siempre que impida acceder a los datos personales incorporados en los documentos exija esfuerzos desproporcionados a los datos personales”.De dicho razonamiento se desprende que para que un conjunto de datos en soporte papel pueda ser considerado como fichero, será necesario que dichos datos se agrupen en función de criterios basados en las personas físicas (por ejemplo orden alfabético), de forma que su localización y acceso, no exija esfuerzos desproporcionados. En este mismo informe, la AEPD y en relación a los datos archivados en soportes informáticos, resuelve que “el archivo de documentos en un sistema informático lleva implícita una organización, así todo sistema informático permite hacer búsquedas de documentos, lo que en definitiva convierte a la carpeta en la que se incorporen los documentos como fichero, dado que se cumple con los criterios de la definición, se permite el acceso a los documentos con independencia de la forma o modalidad de su creación, organización, almacenamiento y acceso”.

    Consulta el Informe Jurídico 279/2009

  2. Los datos personales, además, deben ser objeto de tratamiento. La definición de tratamiento consiste en “cualquier operación o procedimiento técnico, sea o no automatizado, que permita la recogida, grabación, conservación, elaboración, modificación, consulta, utilización, cancelación, bloqueo o supresión, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.” Para encontrar dicha definición debemos ir al artículo 3 c) LOPD y 5.1. t) RLOPD (de nuevo en subrayado incluimos las modificaciones del Reglamento).

    El concepto de tratamiento pues, incluye prácticamente cualquier uso que pueda hacerse de los datos personales, una vez estos han sido incorporados en un fichero. Resulta extraño imaginar un supuesto en que la incorporación de un dato en un fichero, no implique su tratamiento (ya que en este concepto se incluye, por ejemplo, la mera conservación o grabación de un dato), pero lo cierto es que la LOPD distingue ambos conceptos. A pesar de ello, fichero y tratamiento van en la práctica, normalmente unidos, pudiendo afirmar que el fichero es el soporte físico donde se incorporan los datos y el tratamiento es la operación realizada con esos datos. Tal es la casi imposibilidad de distinguir entre fichero y tratamiento que el anteriormente citado Informe 279/2009, establece “En este sentido, si se produce un tratamiento de datos con información concerniente a personas físicas identificadas e identificables, que según se desprende del contenido de la consulta, parece que efectúa la consultante, con independencia de si se crea o no un fichero, sí resulta de aplicación las previsiones de la Ley Orgánica 15/1999 y su Reglamento de desarrollo aprobado por el Real Decreto 1720/2007, de 21 de diciembre.” A pesar de esta previsión, resulta difícilmente imaginable como un tratamiento, puede ser llevado a cabo sin incorporar los datos en un soporte físico.

    En cualquier caso y más allá de estas discusiones y definiciones teóricas, ni en el caso de los ficheros ni en del tratamiento, la aplicación o no de la LOPD no dependerá de si el fichero o el tratamiento se produce en soporte no informático (papel), ya que la LOPD no prevé diferencias en este sentido: en ambos casos sería aplicable la normativa vigente.

    Por tanto y recogiendo el espíritu y la literalidad del texto de la LOPD (art. 2.1), la misma “será de aplicación a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado”.

1. Notificación de ficheros ante la AEPD

1.1 Registro General de Protección de Datos.

El Registro General de Protección de Datos (en adelante, “RGPD”), está regulado en el artículo 39 de la LOPD, como un órgano integrado dentro de la organización de la Agencia Española de Protección de Datos. De todas formas, la primera referencia al RGPD en la LOPD se encuentra antes en su artículo 14 donde se establece que, entre los derechos de los ciudadanos, se encuentra el de consultar al Registro: “Cualquier persona podrá conocer, recabando a tal fin la información oportuna del Registro General de Protección de Datos, la existencia de tratamientos de datos de carácter personal, sus finalidades y la identidad del responsable del tratamiento. El Registro General será de consulta pública y gratuita”.De hecho la consulta del RGPD puede realizarse desde la propia página web de la AEPD

haciendo posible que cualquier ciudadano conozca los organismos públicos, empresariales u otros que han comunicado el tratamiento de datos personales. La posibilidad de consulta al RGPD resulta una condición y requisito indispensable para que los ciudadanos puedan ejercer otros derechos reconocidos por la LOPD y que iremos viendo a lo largo de la obra.

Ante el RGPD serán objeto de inscripción:

a) Los ficheros de que sean titulares las Administraciones públicas.

b) Los ficheros de titularidad privada.

c) Las autorizaciones a que se refiere la presente Ley.

d) Los códigos tipo a que se refiere el artículo 32 de la presente Ley.

e) Los datos relativos a los ficheros que sean necesarios para el ejercicio de los derechos de información, acceso, rectificación, cancelación y oposición.

En este punto nos interesa comentar el punto b. Para conocer qué debe entenderse por ficheros de titularidad privada debemos irnos a las definiciones establecidas en el artículo 5.1.l) del RLOPD que establece que “los ficheros de los que sean responsables las personas, empresas o entidades de derecho privado, con independencia de quien ostente la titularidad de su capital o de la procedencia de sus recursos económicos, así como los ficheros de los que sean responsables las corporaciones de derecho público, en cuanto dichos ficheros no se encuentren estrictamente vinculados al ejercicio de potestades de derecho público que a las mismas atribuye su normativaespecífica.”

La AEPD ha discutido en algunas ocasiones los criterios a seguir para determinar la naturaleza pública o privada de un fichero, concluyendo que deberá prevalecer la naturaleza pública o privada del responsable del fichero o el tratamiento, y no la actividad que efectivamente lleve a cabo dicho responsable.

Consultar Informe Jurídico 2000-2001

La competencia para la inscripción de ficheros de titularidad privada corresponderá a la AEPD. Resulta importante destacar este punto ya que la LOPD prevé en su artículo 41, que ciertas de las competencias atribuidas a la AEPD serán ejercidas por órganos equivalentes en las Comunidades Autónomas, cuando se trate de ficheros de datos de carácter personal “creados o gestionados por las Comunidades Autónomas y por la Administración Local de su ámbito territorial, por los órganos correspondientes de cada Comunidad”. Esta previsión conlleva que cada Comunidad Autónoma podrá crear agencias autonómicas con competencias, entre otras, en la inscripción de los ficheros de titularidad pública creados por la propia Comunidad Autónoma, la Administración Local y otros organismos públicos dentro de cada Comunidad Autónoma. Actualmente disponen de agencia de protección de datos las Comunidades de Madrid, Cataluña y Euskadi.

A modo de resumen, cualquier entidad privada (entre las que podemos incluir las sociedades mercantiles y civiles), que además disponga de información que cumpla los requisitos necesarios para ser considerada como dato personal y que la archive en ficheros y para proceder a su tratamiento, deberá completar la inscripción de dichos ficheros ante el RGPD.

1.2. Procedimiento de notificación de ficheros.

En la actualidad, y después de haber pasado por casi todas las fases tecnológicas posibles, es posible notificar los ficheros ante el RGPD, a través de la página web de la AEPD mediante el sistema NOTA, siempre que se disponga de una firma electrónica reconocida. Esta circunstancia facilita enormemente el cumplimiento de esta obligación, ya que además de la facilidad del medio (evitando faxes e impresión de documentos, como antaño) el programa dispone de notificaciones predefinidas para facilitar la tarea a los responsables de ficheros (según el mandato del artículo 59.3 RLOPD). A pesar de esto, cuando se utilicen notificaciones predefinidas es muy recomendable revisar cada notificación antes de su envío para evitar errores. Cabe decir que el uso del programa NOTA no es la única forma para notificar ficheros, puede seguir haciéndose en papel, siempre que se utilicen los modelos publicados por la AEPD.

Ver información adicional sobre el fichero NOTA

El RLOPD ha desarrollado el mandato del artículo 26.2 LOPD en relación a la obligación de notificación de ficheros (arts. 55 a 64) y al procedimiento a seguir (art. 130 a 136). Los actos sujetos a notificación ante el RGPD son: lacreación, la modificacióny la cancelaciónde un fichero. Resulta importante comentar aquí que la notificación de estos actos debe ser un paso previo a la realización de los mismos; así el procedimiento correcto en el caso de querer crear un fichero con datos personales sería:

  1. Proceder a la notificación de creación, modificación o supresión del fichero ante el RGPD.

  2. Proceder a la creación, modificación o supresión efectiva del fichero.

En cada notificación deberá incluirse, al menos, la siguiente información (art. 55.2 RLOPD):

  1. Identificación del responsable del fichero,

  2. la identificación del fichero,

  3. sus finalidades y los usos previstos,

  4. el sistema de tratamiento empleado en su organización,

  5. el colectivo de personas sobre el que se obtienen los datos,

  6. el procedimiento y procedencia de los datos,

  7. las categorías de datos,

  8. el servicio o unidad de acceso,

  9. la indicación del nivel de medidas de seguridad básico, medio o alto exigible,

  10. en su caso, la identificación del encargado del tratamiento en donde se encuentre ubicado el fichero y

  11. los destinatarios de cesiones y transferencias internacionales de datos.

La facilitación de la información requerida de forma completa, se logra de modo sencillo siguiendo los pasos previstos en el formulario NOTA o en los modelos o formularios en papel facilitados por la AEPD. La ventaja del formulario NOTA en este sentido, en relación a los otros tipos de formatos de declaración de ficheros, consiste en la imposibilidad técnica de envío de la notificación a menos que todos sus apartados no se hayan completado correctamente.

El RLOPD establece la obligación que la notificación se encuentre actualizada en todo momento, así será objeto de notificación, como hemos comentado, cualquier modificación que afecte a las categorías recientemente mencionadas, así como la supresión definitiva de un fichero. La introducción de nuevos datos de personas físicas en un fichero, en ningún caso supone la necesidad de declarar la modificación de ese fichero al RLOPD. En el momento de alta de un fichero, la AEPD le otorga un código de inscripción único (artículo 60.2 RLOPD), que facilita los trámites de modificación y cancelación posteriores. Adicionalmente, es necesario señalar que tanto el alta como la baja definitiva de un fichero, están sujetas a la resolución del Director de la AEPD. Así mismo, en el caso de detectar errores, el Director podrá dictar, de forma motivada, una resolución que indique la improcedencia o denegación de la inscripción señalando un plazo para subsanar dicho error. Por último el plazo máximo para dictar la inscripción de la creación, modificación y supresión del fichero, es de un mes desde que se haya enviado la solicitud; en el caso de no haber tenido respuesta en este tiempo, la solicitud de creación, modificación o cancelación deberá entenderse como aceptada a todos los efectos.

1.3 Ficheros lógicos vs ficheros físicos.

El concepto de fichero que debe utilizarse al momento de plantearnos su inscripción ante el RGPD, es un concepto lógico del mismo, no físico. La realidad de las empresas implica en muchas ocasiones que un mismo tipo de datos (por ejemplo, de los clientes), se encuentre almacenado en distintas bases de datos informatizadas (en diferentes aplicaciones) e incluso, al mismo tiempo, en soportes en papel; no solamente eso sino que ciertos datos de los clientes (por ejemplo los emails), pueden estar en una aplicación particular para llevar a cabo un tratamiento concreto (por ejemplo el envío de una News Letter). Al momento de realizar la inscripción de ese fichero de clientes al RGPD es necesario agrupar (de forma abstracta) esos distintos ficheros (físicos), en un solo fichero (lógico) en función del tipo de datos que estamos tratando (clientes) y las finalidades para los que son usados (por ejemplo, mantener la relación con el cliente e informarle de novedades comerciales). Así lo que correspondería en nuestro ejemplo sería una sola notificación de clientes indicando que el tratamiento es en soporte informático y papel y enumerando (en una sola notificación) las finalidades que se prevén para el tratamiento de esos datos.

1.4. Casos particulares.

Para finalizar con el deber de inscripción de ficheros ante el RGPD, comentamos dos casos concretos que se recogen en el RLOPD y que son fruto de ciertas dudas que se habían planteado a la AEPD con anterioridad a la aprobación del Reglamento.

Más adelante en esta obra veremos la posibilidad que un fichero disponga de distintos responsables; en el caso que esto ocurra, el RLOPD obliga a que cada uno de ellos realice su notificación, de forma independiente, al RGPD. Por tanto en el caso que una organización prevea el tratamiento de unos datos ubicados en un fichero ya inscrito en el RGPD, esta circunstancia no le exime de proceder, a su vez, a una nueva inscripción.

  1. Soporte del fichero (artículo 56 RLOPD).

    La declaración del fichero es independiente del tipo de suporte utilizado para su tratamiento. Así un fichero tratado exclusivamente en soporte papel, será objeto de notificación ante el RLOPD. De la misma forma en el caso que un fichero sea tratado en soporte papel e informático (supuesto bastante común), únicamente deberá realizarse una notificación, indicando que el soporte de tratamiento del fichero incluye ambas posibilidades.

  2. Múltiples responsables del fichero (artículo 57 RLOPD).

1.5. Incumplimiento del deber de inscripción: infracciones y sanciones.

La LOPD incluye en los artículos 44 y siguientes, las normas relativas a infracciones a la normativa y las sanciones o multas, en su caso, aplicables. En este mismo artículo se hace referencia en dos ocasiones a la infracción que supone la no inscripción de un fichero ante el RGPD, cuando ello sea preceptivo según las normas ya comentadas. Así se prevé:

  1. Será una infracción leve, la no inscripción de un fichero ante el RGPD, cuando ello sea preceptivo según la normativa vigente. El articulo 45 LOPD prevé para este tipo de infracciones, multas de 600 a 60.000 €.

  2. Será considerada como infracción grave la no inscripción de un fichero, cuando esta hubiera sido requerida por el Director de la AEPD. Las multas previstas para las infracciones consideradas como graves, van de 60.001 a 300.000 €.

2. Deberes de seguridad y secreto en el tratamiento de datos.

Nos centramos en este punto en el segundo de los requisitos básicos a cumplir por parte de quienes traten datos personales: el deber de secreto y de seguridad en el tratamiento de los datos. Estas dos materias resultan de una importancia central en relación al debido respeto al derecho a la protección de datos personales, pues aún en el supuesto que el tratamiento de los mismos haya sido consentido por su titular, resulta evidente que dicho tratamiento, deberá realizarse bajo unas condiciones que aseguren que el uso de los datos no irá más allá del consentido, evitando el acceso a los mismos a terceros no autorizados. A este nivel, incluso el Tribunal Constitucional ha declarado que el uso o el tratamiento de datos, con el consentimiento del afectado pero sin adoptar las debidas medidas de seguridad, resulta un hecho igualmente grave, como los actos consistentes en tratamientos de datos sin el cumplimiento de los requisitos necesarios.

Así de la lectura de los artículos 9 y 10 de la LOPD se desprenden dos de las obligaciones básicas que deberán tener en cuenta las entidades que traten datos personales:

  1. Artículo 9: deber de seguridad en el tratamiento de datos personales.

  2. Artículo 10: deber de secreto en relación al tratamiento de datos personales.

2.1. Deber de secreto.

En relación al deber de secreto, este se prevé tanto para el responsable del fichero, como para quienes intervengan en cualquier fase del tratamiento de datos y dicho deber va más allá del momento en que hubieran finalizado las relaciones con dicho responsable del fichero. Así los sujetos obligados a guardar secreto de los datos que conozcan en ejercicio de sus funciones son:

  1. Responsable del fichero o del tratamiento: “persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que sólo o conjuntamente con otros decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente”. (artículos 3 d) LOPD y 5.1.q) RLOPD, subrayado las modificaciones incluidas por este último texto).

El Responsable del fichero o del tratamiento, es la figura sobre la que recaen la mayoría de las obligaciones impuestas por la normativa de protección de datos (por ejemplo, la de secreto o seguridad de los datos). Las figuras del responsable del fichero y del tratamiento normalmente son coincidentes, aunque no siempre, así será responsable del fichero la persona física o jurídica titular del mismo (quién lo haya creado) y será considerado responsable del tratamiento quién formalmente decida sobre las finalidades, contenido y usos del mismo.

  1. Personal laboral del responsable del fichero o del tratamiento. Así cualquier persona contratada por un responsable de un fichero o del tratamiento para llevar a cabo una obligación laboral que implique el tratamiento de datos personales, estará obligada por el deber de secreto. A estos efectos resulta muy recomendable que los responsables de ficheros den a conocer a sus empleados, las obligaciones que estos tienen en relación al tratamiento de los datos a los que acceden por su puesto de trabajo. En este sentido como veremos en el apartado del procedimiento sancionador, resulta importante destacar que la AGPD no tiene competencias para imponer sanciones a los trabajadores que incumplan el deber de secreto (con independencia de las infracciones civiles o penales que dichos actos puedan ocasionar), por lo que es muy importante que el responsable del fichero o tratamiento, traslade a su personal las obligaciones que le incumben en materia de secreto y seguridad de los datos, de forma que pueda demostrar que ha prestado la diligencia necesaria a los efectos de dar a conocer a quien acceda a datos, sus obligaciones en relación al tratamiento de dichos datos.

  1. Encargados del tratamiento: “la persona física o jurídica, [autoridad] pública o privada, [servicio o cualquier otro organismo] u órgano administrativo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio. Podrán ser también encargados del tratamiento los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados.. (artículos 3 g) LOPD y 5.1 i) RLOPD, subrayado las modificaciones incluidas por el Reglamento y entre corchetes las excluidas por este mismo texto).

El Encargado del tratamiento, por tanto, también es una figura sujeta al deber de secreto y de seguridad (como veremos posteriormente). Para que un sujeto pueda considerarse como encargado del tratamiento de unos datos determinados, deben cumplirse una serie de requisitos:

  1. El principal requisito es que el encargado del tratamiento actúa por cuenta del responsable del fichero o del tratamiento, esto significa que le está prestando un servicio que implica al acceso a datos personales archivados en ficheros titularidad del responsable del fichero o del tratamiento. En el caso de darse este encargo a un tercero en el tratamiento de datos, no estaremos ante una cesión o comunicación de los mismos, puesto que quien conoce los datos (el encargado del tratamiento), no los utiliza para un fin propio, sino en el marco de una prestación de servicios para el responsable del fichero o el tratamiento.

  2. Esta prestación de servicios debe quedar regulada en un contrato (escrito o en alguna otra forma que permita acreditarse su celebración) entre las partes, donde se incluya, al menos:

    1. Que el encargado del tratamiento únicamente tratará los datos para prestar un servicio al responsable del fichero o el tratamiento.

    2. Que incluya las medidas de seguridad que aplicará el encargado del tratamiento en el tratamiento de los datos.

    3. Que el encargado del tratamiento únicamente tratará los datos según las instrucciones del responsable del fichero o el tratamiento y no los utilizará o aplicará, bajo ningún concepto, para fines distintos.

    4. Que el encargado del tratamiento devolverá al responsable del fichero o el tratamiento o los destruirá, en el momento que deje de prestar el servicio.

El cumplimiento de todos estos requisitos implica que a pesar que exista un tercero (el encargado del tratamiento) que accede a datos personales del responsable del fichero, no sería necesario aplicar los requisitos relativos a la comunicación de datos a terceros: especialmente el consentimiento del afectado. Más adelante en esta obra (Capítulo 6) trataremos con mayor profundidad los aspectos relativos a la comunicación o cesión de datos.

Por último es necesario señalar que el hecho que el responsable de un fichero encomiende a un tercero un tratamiento concreto de datos, no le exime de responsabilidad, pues con la redacción del artículo 20.2 del RLOPD el responsable del fichero “deberá velar por que el encargado del tratamiento reúna las garantías para el cumplimiento de lo dispuesto en este reglamento.

Consultar Informe Jurídico 457/2008

2.2. Deber de secreto: infracciones y sanciones

Con anterioridad a tratar las diferentes infracciones y sanciones previstas para el deber de secreto, analizaremos brevemente los criterios de responsabilidad establecidos por la LOPD que son aplicables a todas las infracciones y sanciones allí previstas y que iremos comentando debidamente, a lo largo de la obra.

 

El primero de los criterios que queremos comentar en este punto, es que la AEPD, según el artículo 43 de la LOPD, únicamente podrá aplicar el procedimiento sancionador previsto en la misma a “responsables de fichero y encargados del tratamiento”.A esta previsión podemos añadir, como se ha comentado anteriormente, los responsables del tratamiento. Así cualquiera de las infracciones comentadas en este Capítulo o a lo largo de la obra, únicamente podrá ser sancionada por la AEPD, si la comete un responsable de un fichero o tratamiento o un encargado del tratamiento.

La segunda consideración previa que queríamos hacer en materia de responsabilidad es que a pesar que el RLOPD dispone de un procedimiento sancionador propio de la AEPD, en lo no previsto, se remite a la Ley 30/1992, de 26 de noviembre de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común. Esta ley establece en relación a los principios de la potestad sancionadora (Título IX, Capítulo I), que el ejercicio de la misma tendrá lugar incluso cuando la infracción haya sido ocasionada por una simple inobservancia de las normas administrativas, lo que implica que la AEPD, a los efectos de determinar el incumplimiento de la LOPD no fija sus razonamientos en si el responsable de dicho incumplimiento actuó de forma dolosa o no, sino que simplemente entra a valorar la existencia o no de los hechos y a si estos son contrarios a la LOPD. Por tanto quien vulnere la LOPD no podrá alegar a los efectos de reducir o eximir su responsabilidad que actuó de forma inconsciente o por una imprudencia (sin intencionalidad), la existencia del hecho constitutivo de infracción implicará la sanción, con independencia de los aspectos exclusivamente subjetivos.

Hechas estas consideraciones previas, los artículos relativos a infracciones y sanciones de la LOPD, establecen tres graduaciones distintas en la vulneración del deber de secreto, en función del tipo de datos sobre los que no se respeta esta obligación:

  1. Incumplimiento del deber de secreto en relación a cualquier tipo de dato personal: infracción leve; multa de 600 a 60.000 €.

  2. Incumplimiento del deber de secreto en relación a datos personales relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros, prestación de servicios de solvencia patrimonial y crédito, así como aquellos otros ficheros que contengan un conjunto de datos de carácter personal suficientes para obtener una evaluación de la personalidad del individuo: infracción grave, multa de 60.001 a 300.000 €.

  3. Incumplimiento del deber de secreto en relación a datos personales recabados con fines policiales sin el consentimiento del afectado o de datos relativos a la ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual de las personas: infracción muy grave, multa de 300.001 a 600.000 €.

2.3. Deber de seguridad.

En sus dos primeros puntos, el artículo 9 de la LOPD dispone que:

1. El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.

2. No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.

La obligación incluida en el artículo 9 de la LOPD impone a cualquier entidad que intervenga en el tratamiento de datos personales, la obligación de establecer una serie de medidas de seguridad, técnicas y organizativas, para evitar los usos no autorizados de datos personales. Así esta obligación será aplicable, principalmente, a:

  1. Responsables de los ficheros y el tratamiento (ver apartado 3.1.1).

  2. Encargados del tratamiento (ver apartado 3.1.1)..

  3. Subencargados del tratamiento. Introducimos aquí un concepto que será tratado con mayor profundidad en el Capítulo nº6. En cualquier caso el subencargado del tratamiento es una figura que la realidad mercantil ha impuesto que fuera introducida en el RLOPD y consiste en aquella entidad a la que el encargado de un tratamiento concreto, subcontrata para la realización de la totalidad o parte de dicho tratamiento. Como se ha dicho esta figura, será tratada más adelante y en concreto los requisitos necesarios para que esta subcontratación de servicios se encuentre dentro de la normativa vigente; en este punto únicamente señalar que este subencargado del tratamiento, está plenamente sometido al deber de seguridad en el tratamiento de los datos personales que en virtud de sus labores, conozca.

2.3.1 Niveles de seguridad

 

Vistos los sujetos obligados por el deber de seguridad, nos centraremos en este punto en determinar cuáles son los niveles de seguridad establecidos por la normativa vigente. Efectivamente el legislador entiende que existen distintos niveles de protección exigibles en relación a los datos personales, pues el uso no consentido de los mismos puede suponer un mayor o menor perjuicio a su titular, en función de la información que se desprenda de dicho dato personal. Este es un ejemplo más, como apuntábamos en el Capítulo 1 que la normativa de protección de datos no protege únicamente los datos íntimos, sino cualquier tipo de dato. Así cualquier dato, por muy conocido o público que sea, debe ser objeto de medidas de protección cuando sea tratado por una entidad sujeta a las normas vigentes.

Así el RLOPD establece los niveles de seguridad básico, medio y alto, que variarán en función del tipo de datos incluidos en cada fichero:

  • Cualquier fichero con datos de carácter personal, deberá aplicar las medidas de seguridad de tipo básico que a continuación comentaremos.

  • Además, deberán aplicar medidas de nivel medio, los ficheros que incluyan:

    • Datos relativos a la comisión de infracciones administrativas o penales.

    • Datos relativos a la solvencia patrimonial y crédito.

    • Datos incluidos en ficheros de la Administración tributaria.

    • Datos incluidos en ficheros de entidades financieras.

    • Datos incluidos en ficheros responsabilidad de las Entidades Gestoras y Servicios Comunes de la Seguridad Social.

    • Datos tratados por mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social.

    • Datos que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos.

  • Por último, deberán aplicar las medidas de nivel alto, aquellos ficheros que incluyan:

    • Datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual.

    • Datos recabados con fines policiales sin el consentimiento del afectado.

    • Datos derivados de actos de violencia de género.

2.3.2 Niveles de seguridad aplicables en acciones de marketing

Como se ha visto, la LOPD y el RLOPD, como no podía ser de otra forma, prevén medidas de seguridad para cualquier tipo de datos que pueda ser tratado sobre una persona. El objetivo de esta obra, sin embargo, es centrarnos en las acciones promocionales o de marketing, por lo que en este punto trataremos de ajustar la explicación de las medidas de seguridad a aplicar, al tipo de datos que suelen tratarse en el marco de dichas acciones de marketing. Así resulta indudable que el uso de cualquier información de contacto de una persona física (como hemos visto en el Capítulo 1), siempre que dicha información sea considerada un dato personal, implicará la necesidad de aplicar las medidas de nivel básico que a continuación veremos. Entrarían en este supuesto, por ejemplo, el tratamiento de datos como el teléfono, el fax, el correo electrónico, la dirección postal o cualquier otro medio que pueda ser utilizado para enviar un mensaje publicitario individualizado a una persona física.

A pesar que los datos personales tratados en las acciones de marketing actuales parecen no sobrepasar a priori el nivel de información descrito en el anterior párrafo, no podemos olvidarnos de analizar el último tipo de fichero que debe aplicar medidas de nivel medio “Datos que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos”. Pues bien como hemos comentado en la introducción de esta obra, el marketing pretende ir conociendo a través de acciones concretas a sus destinatarios, por lo que no resulta descartable que la recopilación de cierto grado de información sobre una persona, permita definir o evaluar determinados aspectos de su personalidad o de su comportamiento. Esta circunstancia, a veces, no resulta únicamente de la recopilación de una gran cantidad de datos de una persona, sino que puede darse simplemente conociendo ciertos datos de dicha persona (por ejemplo, sus hábitos de lectura o los canales de pago a los que está suscrito). En todo caso será necesario analizar la posibilidad de aplicar esta circunstancia, caso por caso, atendiendo, en caso de duda, a favorecer el interés del afectado, aplicando las medidas de nivel medio.

2.3.3 Aplicación de los niveles de seguridad

El RLOPD establece una importante novedad en relación a la aplicación de los niveles de seguridad, pues incluye medidas de seguridad concretas para los ficheros tratados en soporte papel, resolviendo una incongruencia que existió hasta su entrada en vigor. Esto fue así pues el Reglamento de Medidas de Seguridad 994/1999 (derogado por el vigente RLOPD) únicamente desarrollaba las medidas de seguridad aplicables a soportes informáticos, en virtud del mandato de la también derogada Ley Orgánica de Protección de Datos 5/1992 (que sólo regulaba el tratamiento automatizado de datos). Debido a que la actual LOPD afecta a todos los ficheros, con independencia de su soporte, era necesario el desarrollo reglamentario de medidas de seguridad concretas, para el soporte en papel.

2.3.4 Cuadro explicativo de las medidas de seguridad

A continuación incluimos dos tablas con las medidas de seguridad básicas previstas para los niveles básico y medio; la primera de las tablas trata de las medidas a aplicar en ficheros informatizados, la segunda en ficheros en papel. Las medidas de seguridad son acumulativas de forma que las de nivel medio, incluyen las de nivel básico.

Ficheros informatizados:



NIVEL BÁSICO

NIVEL MEDIO

Documento de seguridad(art. 89 RLOPD)

Las medidas de seguridad establecidas en esta tabla, deberán ser recogidas de forma expresa en un Documento de Seguridad, que deberá ser implementado y actualizado de forma periódica y que incluirá, al menos:

-Definición de los recursos protegidos. (equipos, soportes y programas de tratamiento de datos).

-Medidas aplicadas para garantizar el nivel de seguridad exigible.

-Funciones y obligaciones del personal.

-Estructura de los ficheros y descripción de los sistemas de información.

-Procedimiento de gestión de incidencias.

-Procedimiento de copias de seguridad.

-Medidas de transporte y destrucción de documentos y soportes.

Documento de seguridad (art. 89.4 RLOPD)

Al contenido del Documento de Seguridad para el nivel básico, deberá añadirse:

-Identificación de responsable de seguridad.

-Controles periódicos de verificación del cumplimiento del Documento de Seguridad.

 

Definición de las obligaciones del personal con acceso a datos(art. 89 RLOPD):

-Identificación de los perfiles y los usuarios de acceso a los sistemas de información.

-Deber de informar al personal de sus obligaciones.

Registro deincidencias (art. 90 RLOPD):

-Procedimiento de notificación y gestión de incidencias que afecten a datos personales.

-Registro de incidencias, incluyendo, tipo de incidencia, momento en que se produjo o detectado, persona que la notifica y que la registra, efectos que produjo y medidas correctoras aplicadas.

Registro deincidencias (art. 100 RLOPD):

-Incluir los procedimientos realizados de recuperación de datos, junto con quién llevó a cabo la recuperación, los datos restaurados y si ha sido necesario grabar datos manualmente durante la recuperación de datos.

Control deaccesos (art. 91 RLOPD):

-Listado actualizado del personal con acceso a datos, definiendo los perfiles de acceso a los mismos, en función de las obligaciones laborales a desempeñar.

Gestión de soportes y documentos(art. 92 RLOPD):

-Identificación e inventario de soportes que archiven datos personales.

-Autorización para la salida de soportes.

-Medidas de protección en el caso de traslado de soportes o documentación.

-Medidas de destrucción efectivas de soportes y documentación.

Gestión de soportes y documentos (art. 97 RLOPD):

-Registro de entrada y salidas de soportes.

Identificación y autenticación(art. 93 RLOPD):

-Activación de sistemas que permitan la identificación y autenticación de usuarios con acceso al sistema, de forma inequívoca y personalizada.

-En el caso que dicho sistema sea a través de contraseñas, estas deberán caducar, al menos, cada año.

Identificación y autenticación (art. 98 RLOPD):

-Activación de un sistema que limite la posibilidad de intentar de forma reiterada los accesos no autorizados al sistema (bloqueo de cuentas).

Copias de respaldo y recuperación de datos(art. 94 RLOPD):

-Realización de copias de seguridad o de respaldo de los datos personales, al menos, semanalmente.

-Comprobación, al menos, cada seis meses, del correcto funcionamiento del sistema de copias de seguridad.

 

Responsable de seguridad (art. 95 RLOPD):

-Designación de uno o varios responsables de seguridad, encargados de coordinar y controlar el cumplimiento de las medidas de seguridad exigibles.

-En ningún caso esta designación supone una exoneración de responsabilidad del responsable del fichero o el encargado del tratamiento.

 

Auditoría bianual (art. 96 RLOPD):

-Auditoría externa o interna, cada dos años, de los sistemas de información e instalaciones de tratamiento y almacenamiento de datos personales.

-Auditoría extraordinaria siempre que se realicen modificaciones sustanciales en los sistemas de información.

-Contenido de la auditoría: dictaminar la adecuación de los sistemas de información e instalaciones a la normativa en vigor, identificar deficiencias y proponer medidas correctoras. Incluir datos, hechos y observaciones así como los dictámenes y recomendaciones alcanzadas.

-El responsable de seguridad analizará el informe de auditoría, elevando las conclusiones al responsable del fichero o tratamiento para que adopte las medidas correctoras propuestas y queden a disposición de la AEPD.

 

Control de acceso físico (art. 99 RLOPD):

-Únicamente el personal autorizado en el Documento de Seguridad podrá tener acceso físico a los locales donde se hallen los equipos físicos que den soporte a los sistemas de información (sala de servidores).

Ficheros no informatizados:



NIVEL BÁSICO

NIVEL MEDIO

Documento de Seguridad (art. 105 RLOPD)

Es igualmente aplicable lo establecido en relación a la finalidad y al contenido del Documento de Seguridad para los ficheros informatizados (ver en la tabla anterior).

Funciones y obligaciones del personal (art. 105 RLOPD)

Resulta de aplicación lo establecido para los ficheros informatizados (ver en la tabla anterior).

Control de accesos (art. 105 RLOPD)

Resulta de aplicación lo establecido para los ficheros informatizados (ver en la tabla anterior).

Gestión de soportes (art. 105 RLOPD)

Resulta de aplicación lo establecido para los ficheros informatizados, con las particularidades previstas para el nivel medio (ver en la tabla anterior).

Criterios de archivo (art. 106 RLOPD)

El archivo de los documentos en papel, deberá garantizar su correcta conservación, localización y consulta, así como posibilitar el ejercicio de los derechos por parte de los afectados.

Dispositivos de almacenamiento (art. 107 RLOPD)

Los dispositivos de archivo de datos deberán contar con mecanismos que obstaculicen su apertura (llaves) de forma que se impida el acceso a personas no autorizadas.

Custodia de soportes (art. 108 RLOPD)

Cuando la documentación no esté en los dispositivos señalados en el anterior punto, la persona que se encuentre a su cargo deberá custodiarla impidiendo su acceso al personal no autorizado.

 

Responsable de seguridad (art. 109 RLOPD)

Se designarán uno o varios responsables de seguridad.

 

Auditoría (art. 110 RLOPD)

Los ficheros se someterán a una auditoría bianual que confirme el cumplimiento de los requisitos de seguridad.

2.4 Deber de seguridad: infracciones y sanciones

La infracción del deber de seguridad impuesto por la LOPD ha sido sancionado tanto por la AEPD como por los tribunales a través de dos de las infracciones previstas como graves (sanción de 60.001 a 300.000 €):

  1. La primera posibilidad es la de aplicar el artículo 44.3 d) de la LOPD donde se establece que constituye una infracción grave “Tratar los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en la presente Ley o con incumplimiento de los preceptos de protección que impongan las disposiciones reglamentarias de desarrollo (…)”. Mediante la aplicación de este artículo se ha sancionado de forma genérica el incumplimiento del deber de seguridad del artículo 9 LOPD, en tanto a principio de protección de datos.

SAN Sección 1ª de 26 de abril de 2002: Incumplimiento de medidas de seguridad que ocasiona que una persona siga recibiendo publicidad habiendo manifestado su negativa.

 

 

 

  • SAN Sección 1ª de 11 de febrero de 2004: Mantener un fichero sin las debidas medidas de seguridad.

     

    •  

     

     

     

  • SAN Sección 1ª de 25 de enero de 2006. Hallazgo en vía pública de documentos en papel con datos de carácter personal.

    •  

     

    1. La segunda de las posibilidades se encuentra en el artículo 44.3 h) donde de forma más concreta se dispone que será considerada una infracción grave “Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen.” Esta previsión por tanto, cubriría cualquier incumplimiento de las medidas de seguridad establecidas en el RLOPD con independencia de si se trata de medidas de nivel básico, medio o alto.

    Jurisprudencia de la Audiencia Nacional relacionada:

    • SAN Sección 1ª de 30 de junio de 2004: Incumplimiento del deber de realización de la auditoría bianual.

       

    • SAN Sección 1ª de 27 de abril de 2005: Incumplimiento de las medidas de registro de soportes y registro de incidencias.

     

    Author: Víctor Roselló Mallol

     

    http://noticias.juridicas.com/articulos/15-Derecho%20Administrativo/200909-329305735294628.html

    • Se logue para poder enviar comentários
    • 943 leituras
    • Compartilhar
    • Versão para impressão
    • Send by email
    • Versão PDF
    Tags