PREGUNTAS FRECUENTES
A continuación se reseña preguntas frecuentes formuladas a la Agencia Española de Protección de datos, y que el mismo organismo ha procedido a dar respuesta. (fuente página web de la Agencia Española de Protección de Datos).
¿La Ley de protección de datos ampara a los autónomos, a las empresas o a sus directivos?
La Ley Orgánica 15/1999 no es aplicable al tratamiento de datos de una empresa o persona jurídica o de personal de contacto de la misma.
¿Es aplicable la legislación de Protección de Datos a las personas fallecidas?
Lo primero que hay que ponerle de relieve, es que de conformidad con lo establecido en la normativa de aplicación sobre protección de datos, los derechos de acceso rectificación y cancelación a los datos personales son derechos personalísimos que únicamente pueden ser ejercitados directamente por el propio afectado.
En consecuencia, los datos de las personas fallecidas no entran dentro del amparo de la LOPD ni de los reglamentos que la desarrollan.
Si bien, el nuevo Reglamento 1720/2007, de 21 de diciembre, permite también que las personas vinculadas familiarmente al fallecido pueden notificar al responsable del fichero el fallecimiento con la finalidad de perseguir la cancelación de los datos de aquel del fichero, sin que ello suponga un posterior derecho a ser tutelado por la AEPD.
¿Es la dirección e-mail un dato de carácter personal?
El concepto de dato personal, según la definición de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, comprende cualquier información concerniente a persona física identificada o identificable, de donde se requiere la concurrencia de un doble elemento: por una parte la existencia de una información o dato y de otra, que dicho dato pueda vincularse a una persona física identificada o identificable.
En el supuesto de direcciones electrónicas la información está constituida por un conjunto de signos que cuando permiten la vinculación directa o indirecta con una persona física la convierte en un dato de carácter personal.
El tratamiento de datos personales (en este caso, la dirección del e-mail) requiere el consentimiento de los titulares de los datos o bien la existencia de una Ley que lo ampare. En consecuencia, la utilización de e-mail sin consentimiento podría ser vulneración de la normativa sobre protección de datos y se podría denunciar ante la Agencia.
He ido a comprar a un gran almacén y me han intentado captar mi firma, pero no en un papel normal, sino en una tablilla electrónica, en la que queda grabada mi firma de manera digital, con el peligro que conlleva ¿Es legal?
El artículo 4 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal señala que:
1. Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.
2. Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. No se considerará incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos.
Igualmente, la entidad que recaba datos personales debe informar de lo dispuesto en el articulo 5 de la citada Ley Orgánica, según el cual:
1. Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:
a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante....”
2. Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior.
» En consecuencia, cuando se recaban datos personales (entre ellos la firma) debe informarse de los expuesto anteriormente. Por lo tanto, teniendo en cuenta que la firma del contrato presupone su aceptación y si los datos se usan para el exclusivo cumplimiento del mismo, informándose debidamente al titular de los datos, se cumpliría la normativa de protección de datos. Si la firma digitalizada se usa para otros fines distintos, se podría estar infringiendo dicha normativa.
¿Qué información debe proporcionarse a los ciudadanos cuando se recogen sus datos personales? ¿Cómo debe darse esa información?
El deber de información previo al tratamiento de los datos de carácter personal es uno de los derechos básicos y principales de los ciudadanos contenidos en la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal; por tanto, si se van a registrar y tratar datos de carácter personal, será necesario informar a través del medio que se utilice para la recogida, del contenido del artículo 5 que regula el derecho de información de los afectados previo a la recogida de los datos:
• "Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:
o De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
o Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
o De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
o De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
o De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante...."
Cuando el responsable del tratamiento no esté establecido en el territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, deberá designar, salvo que tales medios se utilicen con fines de tránsito, un representante en España, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento.
• Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior.
• No será necesaria la información a que se refieren las letras b), c) y d) del apartado 1 si el contenido de ella se deduce claramente de la naturaleza de los datos personales que se solicitan o de las circunstancias en que se recaban.
• Cuando los datos de carácter personal no hayan sido recabados del interesado, éste deberá ser informado de forma expresa, precisa e inequívoca, por el responsable del fichero o su representante, dentro de los tres meses siguientes al momento del registro de los datos, salvo que ya hubiera sido informado con anterioridad, del contenido del tratamiento, de la procedencia de los datos, así como de lo previsto en las letras a), d) y e) del apartado 1 del presente artículo.
"No será de aplicación lo dispuesto en el apartado anterior cuando expresamente una Ley lo prevea, cuando el tratamiento tenga fines históricos, estadísticos o científicos, o cuando la información al interesado resulte imposible o exija esfuerzos desproporcionados, a criterio de la Agencia Española de Protección de Datos o del organismo autonómico equivalente, en consideración al número de interesados, a la antigüedad de los datos y a las posibles medidas compensatorias.
Asimismo, tampoco regirá lo dispuesto en el apartado anterior cuando los datos procedan de fuentes accesibles al público y se destinen a la actividad de publicidad o prospección comercial, en cuyo caso, en cada comunicación que se dirija al interesado se le informará del origen de los datos y de la identidad del responsable del tratamiento así como de los derechos que le asisten."
En consecuencia, cuando se recaban datos personales debe informarse de modo expreso, preciso e inequívoco de lo expuesto anteriormente.
Aparerezco en Internet, en unos listados de la Administración pública, como participante de unas pruebas, entiendo que es normal que aparezca mi nombre y apellido ¿pero el DNI?
Internet no es una fuente accesible al público según la Ley Orgánica 15/1999 (LOPD). La publicación de datos personales en Internet constituye un tratamiento automatizado de datos personales. Por ello, se requiere el previo consentimiento de los titulares de los datos para esa publicación, salvo que los datos figuren, a su vez, en fuentes accesibles al público (como los Boletines Oficiales).
La información general que no contenga datos personales puede ser publicada en Internet sin ninguna traba.
Los titulares de los datos personales pueden instar la oposición al tratamiento, automatizado o no, de sus datos, de conformidad con lo previsto en el articulo 6.4 de la Ley Orgánica 15/1999.
Si en el plazo de un mes no recibe contestación o esta es insatisfactoria, puede reclamar ante esta Agencia Española de Protección de Datos, acompañando la documentación acreditativa de haber solicitado la oposición al tratamiento de datos ante la entidad que se trate.
¿Cómo puedo conseguir que eliminen mis datos de los ficheros de las empresas que me remiten publicidad continuamente a mi casa? ¿Cómo puedo eliminar mis datos de un fichero de morosidad en el que estoy incluido? La empresa de luz me remite a mi domicilio un recibo que contiene un error en uno de los números del DNI. ¿Puedo exigir que me lo modifiquen?
El titular de los datos puede ejercitar su derecho de cancelación o rectificación mediante escrito dirigido al responsable del fichero de la entidad de que se trate. La Agencia Española de Protección de Datos no tiene los datos personales de los ciudadanos.
El ejercicio del derecho de cancelación o rectificación es personalísimos, lo que significa que el titular de los datos deberá dirigirse directamente a dicha entidad, utilizando cualquier medio que permita acreditar el envío y la recogida de su solicitud, para el ejercicio de sus derechos, acompañando copia de su D.N.I.
Vd. debe dirigirse a la dirección del responsable del fichero y solicitar allí la cancelación pretendida. Si desconoce esa dirección, puede solicitarla a la Agencia Española de Protección de Datos.
Si en el plazo de 10 días no recibe contestación o ésta es insatisfactoria, puede reclamar ante esta Agencia Española de Protección de Datos, acompañando la documentación acreditativa de haber solicitado la cancelación de datos ante la entidad que se trate.
¿Debo obligatoriamente inscribir los ficheros manuales o en papel (listados, fichas, etc...)?
El soporte papel (como son los listados o las fichas) entra dentro de la definición de soportes físicos en general.
Desde octubre del año 2007 es obligatoria la inscripción de ficheros manuales o en soporte papel, cualquiera que fuera su fecha de creación.
¿Cuáles son las medidas de seguridad que la ley impone a los sujetos obligados a la LOPD?
El principio de seguridad de datos establecido en el artículo 9 de la Ley Orgánica 15/1999, impone al responsable del fichero adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado. Estas medidas han sido desarrolladas en el Título VIII – De las medidas de seguridad en el tratamiento de datos de carácter personal, del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre de protección de datos de carácter persona, en adelante RDLOPD.
Artículo 9. Seguridad de los datos.
• "El responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.
• No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.
• Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros y las personas que intervengan en el tratamiento de los datos a que se refiere el artículo 7 de esta Ley."
De conformidad con lo dispuesto en el artículo 44,3,h) de la Ley Orgánica 15/1999, constituye infracción grave, "mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen."
El artículo 79 del RDLOPD – Establece que los responsables de los tratamientos o los ficheros y los encargados del tratamiento deberán implantar las medidas de seguridad con arreglo a lo dispuesto en el Título VIII, con independencia de cual sea su sistema de tratamiento.
El Reglamento trata de ser particularmente riguroso con la atribución de los niveles de seguridad, en la fijación de las medidas que corresponda adoptar en cada caso y en la revisión de las mismas cuando resulte necesario. Por otra parte, ordena con mayor precisión el contenido y las obligaciones vinculadas al mantenimiento del documento de seguridad.
El artículo 80 del RDLOPD señala que las medidas de seguridad exigibles a los ficheros y tratamientos se clasifican en tres niveles: básico, medio y alto y, a continuación, el artículo 81 especifica la aplicación de los niveles de seguridad según el tipo de datos de carácter personal a tratar. Por último señalar que el responsable encontrará en el artículo 88 la concreción del contenido del documento de seguridad, y por tanto, un índice de ayuda para llevar a cabo su construcción.