Derecho de rectificación

El artículo 16 de la LOPD regula de forma conjunta los derechos de rectificación y cancelación.

El responsable del fichero viene obligado a hacer efectiva la rectificación instada por el interesado en el plazo de diez días, y a comunicárselo por escrito y de forma fehaciente.

El derecho de rectificación consiste en la corrección de los datos que resulten inexactos o incompletos (artículo 31.1 del RLOPD.

Si los datos rectificados han sido comunicados previamente, el responsable de fichero deberá notificar la rectificación al cesionario, en el caso de que se mantenga el tratamiento por este último, que deberá también proceder a la rectificación.

Según el artículo 24.2 del RLOPD el responsable del fichero tiene que poner a disposición del interesado un medio sencillo y gratuito para el ejercicio de este derecho.

La solicitud de rectificación indicará a qué datos se refiere y la corrección que haya de realizarse y deberá ir acompañada de la documentación justificativa de lo solicitado.

Si no existieran datos del interesado a disposición del supuesto responsable de fichero, éste se lo comunicará igualmente.

Derecho de acceso

 

El Artículo 15 de la LOPD regula el denominado Derecho de acceso.

El titular de los datos puede solicitar y obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, del origen de dichos datos, así como de las comunicaciones realizadas o que se prevén hacer de los mismos.

Más detalladamente, el artículo 27 del RLOPD establece que El derecho de acceso es el derecho del afectado a obtener información sobre si sus propios datos de carácter personal están siendo objeto de tratamiento, la finalidad del tratamiento que, en su caso, se esté realizando, así como la información disponible sobre el origen de dichos datos y las comunicaciones realizadas o previstas de los mismos.

El acceso puede llevarse a cabo mediante la mera consulta de los datos por medio de su visualización, o la indicación de los datos que son objeto de tratamiento mediante escrito, copia, telecopia o fotocopia, certificada o no.

El ejercicio de este derecho tiene limitaciones temporales, de modo que sólo cabe hacerlo a intervalos no inferiores a doce meses, salvo que el interesado acredite un interés legítimo al efecto, en cuyo caso podrán ejercitarlo antes. O sea, que si no hay un motivo acreditado, no se puede estar ejercitando este derecho continuamente.

Será necesario que el interesado acredite su identidad, y puede ejercitarlo en nombre propio o mediante representante.

Se tendrá que poner a disposición del interesado un medio sencillo y gratuito para ejercitar el acceso.

El responsable de fichero tiene un plazo de un mes para contestar a la petición de acceso, e incluso tendrá que responder aunque no existieran datos del interesado en sus archivos.

SPAM

En su GUÍA PARA LA LUCHA CONTRA EL SPAM la Agencia Española de Protección de datos, ofrece una serie de consejos para prevenir el SPAM.

En la misma, el Spam o “correo basura” se define como todo tipo de comunicación no solicitada, realizada por vía electrónica. Es decir: cualquier mensaje no solicitado y que normalmente tiene el fin de ofertar, comercializar o tratar de despertar el interés respecto de un producto, servicio o empresa. Aunque se puede hacer por distintas vías, la más utilizada entre el público en general es mediante el correo electrónico.

Éstos son los consejos de la AEPD para prevenirlo (o al menos para intentarlo): 

 III.-Consejos para prevenir el Spam

La dirección de correo electrónico es el medio más utilizado para registrar la identidad de una persona en Internet y suele servir de base para la acumulación de información en torno a la misma. En muchas ocasiones contiene información acerca de la persona como el apellido, la empresa donde trabaja o el país de residencia. Esta dirección puede utilizarse en múltiples lugares de la red y puede ser conseguida fácilmente sin nuestro conocimiento, por lo que es necesario seguir una serie de normas para salvaguardar nuestra privacidad.

- Ser cuidadoso al facilitar la dirección de correo

Facilitar únicamente la dirección de correo a aquellas personas y organizaciones en las que confía y aquellas con las que quiera comunicar.

- Utilizar dos o más direcciones de correo electrónico

Es aconsejable crear una dirección de correo electrónica, que será la que se debe proporcionar en aquellos casos en los que no se confíe o conozca lo suficiente al destinatario. De este modo, su dirección personal será conocida únicamente por sus amigos o por sus contactos profesionales, con el ahorro de tiempo que implica no tener que separar correos importantes de aquellos no deseados.

Lo mismo se recomienda a la hora de utilizar servicios de mensajería instantánea.

- Elegir una dirección de correo poco identificable.

Los spammers obtienen las direcciones de correo electrónico de formas muy diferentes. Así navegando por la red, en salas de chat e IRC, o incluso en directorios de contactos o usando la ingeniería social. A veces compran incluso listas de correo electrónico en sitios web que venden los datos de sus clientes. Y, cuando todo esto falla, simplemente conjeturan.

Las direcciones de correo electrónico que se refieren a una persona como tal, suelen contener algún elemento que les identifique y son fáciles de recordar.

Esta forma de crear el correo permite a los spammers intuir las direcciones de correo electrónico. Por ejemplo, si su nombre es Jesús Fernández, el spammer probará con las siguientes opciones: jesusfernandez@...., j.fernandez@...., jfdez@....., jesus.fdez@...., etc.

Los spammers incluso cuentan con programas que generan automáticamente posibles direcciones de correo. Pueden crear cientos de direcciones en un minuto, ya que trabajan utilizando diccionarios, es decir, una lista de palabras que se suelen usar en las direcciones de correo. Estos diccionarios suelen contener campos como los siguientes:

• Alias

• Apellidos

• Iniciales

• Apodos

• Nombres de mascotas

• Marcas

• Signos del zodiaco

• Meses del año

• Días de la semana

• Nombres de lugares

• Modelos de coches

• Términos deportivos

• Etc.

Estos programas simplemente introducen datos en cada uno de estos campos e intentan varias combinaciones con todos ellos. Además añaden letras y números en las combinaciones, ya que se suelen introducir fechas de cumpleaños, edades, etc.

Para crear una dirección de correo electrónico y reducir el envío de Spam, sería conveniente no introducir campos que sean potencialmente intuíbles por el spammer.

-No publicar la dirección de correo-

No se debería anunciar la dirección de correo en buscadores, directorios de contactos, foros o páginas web. En el caso de los chat, no se debe mostrar la dirección de correo electrónico en las listas de usuarios y no se debe comunicar a desconocidos.

Cuando envíe correos en los que aparezcan muchas direcciones, envíelas usando BCC o CCO (con copia oculta) para no hacer visibles todas las direcciones.

Si es necesario facilitar la dirección de correo electrónico en alguna web, envíela en formato imagen o escriba ‘at’ o ‘arroba’ en lugar de @. De este modo se puede evitar que lo capturen los programas creadores de Spam. Asimismo, si reenvía un correo, elimine las direcciones de los anteriores destinatarios: son datos de fácil obtención por los spammers.

- Leer detenidamente las Políticas de Privacidad y las Condiciones de Cancelación.

Si se va a suscribir a un servicio on line, o a contratar un producto, revise la política de privacidad antes de dar su dirección de correo electrónico u otra información de carácter personal. Puede que esta compañía vaya a ceder los datos a otras o a sus filiales y observe que no le suscriben a boletines comerciales, por lo que es conveniente saber la política de alquiler, venta o intercambio de datos que han adoptado tanto su proveedor de acceso a Internet como los administradores de los directorios y listas de distribución donde esté incluido. Capture la pantalla y páginas en las que compra y conserve los datos identificadores.

Además, lea los mensajes sospechosos como texto y no como html y desactive la previsualización de los correos.

No dude en ejercer los derechos de acceso y cancelación sobre sus datos ante estas empresas.

-Sensibilizar a los niños sobre la utilización del correo y la mensajería instantánea-

Los niños son objetivos ideales para promocionar información sobre la composición y las prácticas de consumo del hogar. Por eso es importante recordarles algunos consejos prácticos que ayudarán a evitar que el niño aporte datos personales.

Además, mediante la dirección de correo electrónico no se puede saber quien es el destinatario de correos que pueden tener contenidos no aptos para los niños.

Datos biométricos

La cuestión de los datos biométricos preocupa a las autoridades europeas, ya que afecta de manera especial al derecho de protección de datos.

Se vienen utilizando tanto para el control de accesos, identificación y autenticación, como en la investigación forense y conllevan ciertos riesgos para la privacidad y los derechos de los afectados.

En nota de prensa reciente, se informaba de la adopción de  un Dictamen del Grupo de trabajo del artículo 29 sobre la materia.

El Grupo de Trabajo del artículo 29 es el grupo consultivo compuesto por representantes de las autoridades nacionales de protección de datos de los Estados miembros, el Supervisor Europeo de Protección de Datos y la Comisión Europea. Está facultado para examinar cualquier cuestión que esté relacionada con la aplicación de las directivas en materia de protección de datos para contribuir a la aplicación uniforme de las mismas. Desempeña sus funciones emitiendo recomendaciones, dictámenes y documentos de trabajo sobre todas aquellas cuestiones relevantes que afectan a la protección de datos personales.

Esta es la nota de prensa publicada en la web de la Agencia Española de Protección de Datos:

Nota de prensa

Bruselas, 9 de mayo de 2012

GRUPO DE TRABAJO DEL ARTÍCULO 29 SOBRE PROTECCIÓN DE DATOS

Las autoridades europeas de protección de datos representadas en el Grupo de trabajo del artículo 29 han adoptado un dictamen sobre los últimos desarrollos en materia de tecnologías biométricas. El dictamen proporciona un análisis jurídico actualizado del uso de datos biométricos y recomendaciones sobre mejores prácticas. Además, propone medidas técnicas y organizativas para mitigar los riesgos para la protección de los datos y la privacidad, y ofrece también orientaciones sobre cómo evitar las consecuencias negativas para la privacidad y el derecho fundamental a la protección de datos de los interesados.

Los datos biométricos se utilizan de manera satisfactoria y eficaz en la investigación científica, constituyen un elemento clave de la ciencia forense y son un valioso componente de los sistemas de control de acceso. Pueden ayudar a incrementar el nivel de seguridad y lograr que los procedimientos de identificación y autenticación sean más sencillos, rápidos y cómodos. Sin embargo, los sistemas biométricos utilizan propiedades únicas de los sujetos, como las huellas dactilares, los patrones venosos y el ADN. Aunque los datos biométricos de una persona puedan eliminarse o modificarse, la fuente de la que se extraen en general no puedo modificarse ni eliminarse. Por esta razón, las tecnologías biométricas plantean riesgos específicos para la privacidad y la protección de datos de los afectados.

Gracias a los avances tecnológicos, el coste del espacio de almacenamiento y la potencia de cálculo necesaria son menores. Estos han posibilitado la existencia de galerías de imágenes en línea y redes sociales que contienen miles de millones de fotografías, han permitido que los lectores de huellas dactilares y los dispositivos de videovigilancia se conviertan en aparatos baratos y, gracias a ellos, los análisis de ADN son más rápidos y económicos.

Cuando estas tecnologías biométricas, que generalmente están disponibles, se emplean sin las salvaguardas apropiadas, el derecho a la protección de datos de los afectados corre peligro. Además, existen gran cantidad de tipos de datos biométricos que pueden recopilarse sin la cooperación o el conocimiento por parte del interesado, como ocurre a través de los sistemas de videovigilancia y de reconocimiento facial, lo que podría facilitar que se produzcan numerosas violaciones de manera inadvertida.

En el dictamen se abordan las ventajas y los riesgos que se han mencionado anteriormente, así como otros desarrollos recientes. Las repercusiones jurídicas del uso de datos y sistemas biométricos se analizan desde un punto de vista general y de esta tecnología específica.  

Derecho de cancelación

¿Se puede ejercitar eficazmente el derecho de cancelación a través de correo electrónico?

No, ya que la normativa exige que se lleve a cabo por un medio fehaciente, que deje constancia del envío y la recepción de la solicitud, así como de su contenido (cuestión distinta es que el receptor del e-mail lo acepte y proceda a la cancelación, obviamente).

En resolución de la Agencia Española de Protección de Datos de 8 de mayo de 2012, con nº TD/402/2012, se indica que:

TERCERO: El artículo 24.5 del Reglamento de desarrollo de la Ley Orgánica de Protección de datos de carácter personal, aprobado por Real Decreto 1720/2007, de 21 de diciembre dispone que:

“5. El responsable del fichero o tratamiento deberá atender la solicitud de acceso, rectificación, cancelación u oposición ejercida por el afectado aún cuando el mismo no hubiese utilizado el procedimiento establecido específicamente al efecto por aquél, siempre que el interesado haya utilizado un medio que permita acreditar el envío y la recepción de la solicitud, y que ésta contenga los elementos referidos en el párrafo 1 del artículo siguiente”.

CUARTO: En el caso que nos ocupa, el reclamante ha manifestado que se dirigió al responsable del fichero mediante correo electrónico, medio que no permite acreditar que se haya producido la recepción del mismo (acredita la transmisión, pero no la recepción del derecho solicitado), exigencia legal para que se entienda ejercido el derecho de cancelación y por tanto resulte obligada la respuesta del responsable del fichero (art. 24.5 del Reglamento de la LOPD, antes citado).

A mayor abundamiento, como recientemente ha señalado el Tribunal Constitucional en la STC 58/2010, de 4 de octubre, “…, la eficacia de los actos de comunicación procesal realizados a través de cualquier medio técnico se supedita a que quede en las actuaciones constancia fehaciente de la recepción, de su fecha y del contenido de lo comunicado, o lo que es igual, que

quede garantizada la autenticidad de la comunicación y de su contenido y quede constancia fehaciente de la remisión y recepción íntegras y del momento en que se hicieron.”

Por ello no puede entenderse que se haya ejercido en forma legalmente establecida el derecho del que se pretende la tutela de esta Agencia, al ser el ejercicio del derecho requisito previo necesario para poder iniciar dicho procedimiento.

Número de finca registral

¿Se puede considerar que el número de finca registral es un dato de carácter personal?

Nos dice la Agencia Española de Protección de Datos que, en efecto, lo es, como se puede comprobar en su informe nº 34 del año 2000.

Éste es su razonamiento:

Este concepto se confirma y se concreta tras la entrada en vigor del Reglamento que desarrolla la Ley Orgánica 15/1999, aprobado por el Real Decreto 1720/2007, de 21 de diciembre, en el que se define tanto dato de carácter personal como persona identificable en el artículo 5.1 estableciendo que son “f) Datos de carácter personal: Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables. Y o) Persona identificable: toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social. Una persona física no se considerará identificable si dicha identificación requiere plazos o actividades desproporcionados.”

El artículo 8 de la Ley Hipotecaría establece que “Cada finca tendrá desde que se inscriba por primera vez un número diferente y correlativo.

Las inscripciones que se refieran a una misma finca tendrán otra numeración correlativa y especial.”

Continúa señalando el artículo 9 que “Toda inscripción que se haga en el Registro expresará las circunstancias siguientes:

1ª La naturaleza, situación y linderos de los inmuebles objeto de la inscripción, o a los cuales afecte el derecho que deba inscribirse, y su medida superficial, nombre y número, si constaren del título. (….)

2ª La naturaleza, extensión y condiciones, suspensivas o resolutorias, si las hubiere, del derecho que se inscriba, y su valor, cuando constare en el título.

3ª El derecho sobre el cual se constituya el que sea objeto de la inscripción.

4ª La persona natural o jurídica a cuyo favor se haga la inscripción.

5ª La persona de quien procedan inmediatamente los bienes o derechos que deban inscribirse.

6ª El título que se inscriba, su fecha, y el Tribunal, Juzgado, Notario o funcionario que lo autorice.

7ª La fecha de presentación del título en el Registro y la de la inscripción.

8ª La firma del Registrador, que implicará la conformidad de la inscripción, con la copia del título de donde se hubiere tomado.

Lo dispuesto en este artículo se entiende sin perjuicio de lo especialmente establecido para determinadas inscripciones.”

De todo lo expuesto podemos extraer la siguiente conclusión, el número de una finca registral, es el que se otorga a la inscripción de la finca, por lo que conociendo dicho número podemos conocer el contenido de la inscripción en el que aparecerá entre otro tipo de información; “la persona natural o jurídica a cuyo favor se haga la inscripción y la persona de quien procedan inmediatamente los bienes o derechos que deban inscribirse”. Por tanto enlazando este concepto con las definiciones previstas tanto en la Ley Orgánica 15/1999 y su reglamento de desarrollo, habrá de concluirse que el número de finca registral es un dato identificable.

Web de INTECO

Para temas de seguridad de la información y materias conexas, me gusta mucho esta web del Instituto Nacional de Tecnologías de la Comunicación.

Entre otras cosas, puedes suscribirte a sus boletines y alertas y saber cosas como ésta que verás si pulsas AQUÍ

Ficheros de morosos

La LOPD hace especial referencia a los ficheros de datos personales de empresas que se dedican a la información sobre solvencia patrimonial y crédito.

Nos referimos a los conocidos como “FICHEROS DE MOROSOS”.

Si esta es tu actividad, debes saber que la Ley y el Reglamento te imponen una serie de exigencias específicas.

En términos generales, indica el artículo 29 de la LOPD lo siguiente:

Artículo 29. Prestación de servicios de información sobre solvencia patrimonial y crédito.

1. Quienes se dediquen a la prestación de servicios de información sobre la solvencia patrimonial y el crédito sólo podrán tratar datos de carácter personal obtenidos de los registros y las fuentes accesibles al público establecidos al efecto o procedentes de informaciones facilitadas por el interesado o con su consentimiento.

2. Podrán tratarse también datos de carácter personal relativos al cumplimiento o incumplimiento de obligaciones dinerarias facilitados por el acreedor o por quien actúe por su cuenta o interés. En estos casos se notificará a los interesados respecto de los que hayan registrado datos de carácter personal en ficheros, en el plazo de treinta días desde dicho registro, una referencia de los que hubiesen sido incluidos y se les informará de su derecho a recabar información de la totalidad de ellos, en los términos establecidos por la presente Ley.

3. En los supuestos a que se refieren los dos apartados anteriores, cuando el interesado lo solicite, el responsable del tratamiento le comunicará los datos, así como las evaluaciones y apreciaciones que sobre el mismo hayan sido comunicadas durante los últimos seis meses y el nombre y dirección de la persona o entidad a quien se hayan revelado los datos.

4. Sólo se podrán registrar y ceder los datos de carácter personal que sean determinantes para enjuiciar la solvencia económica de los interesados y que no se refieran, cuando sean adversos, a más de seis años, siempre que respondan con veracidad a la situación actual de aquéllos.

A parte de lo anterior, tu actividad tendrá que regirse –en lo que a materia de protección de datos se refiere- por las exigencias de los artículos 37 a 44 del RLOPD.

Trabajadores y LOPD

El artículo 88 del RLOPD establece cuál debe ser el contenido mínimo del Documento de Seguridad. En su apartado 3.c) exige que se incluyan:

c) Funciones y obligaciones del personal en relación con el tratamiento de los datos de carácter personal incluidos en los ficheros.

Asimismo, dentro de las medidas de seguridad de nivel básico, el artículo 89 establece lo siguiente:

Artículo 89. Funciones y obligaciones del personal.

1. Las funciones y obligaciones de cada uno de los usuarios o perfiles de usuarios con acceso a los datos de carácter personal y a los sistemas de información estarán claramente definidas y documentadas en el documento de seguridad.

También se definirán las funciones de control o autorizaciones delegadas por el responsable del fichero o tratamiento.

2. El responsable del fichero o tratamiento adoptará las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento.

En la legislación de protección de datos, se toma conciencia sobre la importancia, dentro de cada organización, del personal que trata directamente los datos de carácter personal necesarios para el desarrollo de su actividad. De la actitud de los empleados depende muchas veces el éxito o fracaso de las medidas de seguridad que se han de implantar conforme al RLOPD .

En la empresa u organización, cada usuario que accede a datos de carácter personal debe ser informado sobre sus funciones y obligaciones en relación con esta normativa.

El responsable de fichero tiene la obligación de informar a su personal, de una forma comprensible, sobre las normas de seguridad que afecten al desarrollo de sus funciones, así como sobre las consecuencias en que pudiera incurrir en caso de incumplimiento.

Google Street View

La Agencia Española de Protección de Datos está preocupada por las campañas de captación de imágenes del Servicio Google Street View. Consecuencia de su preocupación es la publicación -en su web- de esta nota informativa en la que se deja constancia del requerimiento hecho a Google y de la respuesta al mismo:

 

NOTA INFORMATIVA SOBRE LA NUEVA CAMPAÑA DE

CAPTACIÓN DE IMÁGENES EN DIVERSAS PROVINCIAS

ESPAÑOLAS POR LOS VEHÍCULOS DEL SERVICIO GOOGLE

STREET VIEW

La compañía Google ha informado a la Agencia Española de Protección de Datos del comienzo de una nueva campaña de captación de imágenes en diversas provincias españolas para el servicio Street View.

Al objeto de garantizar el cumplimiento de la normativa de protección de datos por parte de Google en la captación de imágenes en diversas provincias españolas y el respeto a los derechos de los ciudadanos cuyas imágenes pudieran ser captadas, así como evitar sucesos como la problemática suscitada en el pasado por la captación y almacenamiento por equipos técnicos instalados en los vehículos StreetView de datos de localización de redes WI-FI y datos personales transmitidos mediante redes WI-FI abiertas, la AEPD, en el marco del análisis previo que está realizando sobre esta nueva campaña de recogida de imágenes, ha requerido a la compañía información sobre las características y términos en que se realizará la misma.

Entre otras cuestiones, la AEPD ha requerido a la compañía información sobre el tipo de datos que serán recogidos, la finalidad de la recogida, lugares y periodos de conservación de los datos personales recogidos en las imágenes, los procedimientos para anonimizar los datos personales (imágenes, matrículas…) antes de su publicación, y para su eliminación, así como información sobre los medios disponibles para que los ciudadanos puedan solicitar la eliminación de sus datos directamente ante la compañía.

Asimismo, la AEPD ha requerido a Google la inscripción en el Registro General de Protección de Datos de los ficheros de las imágenes y datos personales captados por Google para este servicio; el establecimiento -antes de la publicación de las imágenes de sistemas de anonimización y difuminado irreversible de los datos personales (imágenes, matrículas…) que sean captados por los vehículos; así como un medio a través del cual los ciudadanos puedan solicitar la cancelación o eliminación de sus datos personales recogidos en las imágenes una vez publicadas.

En respuesta a este requerimiento Google ha manifestado, entre otras cuestiones que:

• No captarán, en ningún caso, datos de localización de redes WI-FI, ni datos transferidos mediante las mismas.

• Antes de la publicación de las imágenes se aplicará una tecnología de difuminado permanente e irreversible aplicable a los rostros identificables y matrículas de vehículos.

• Ponen a disposición de los usuarios una herramienta mediante la que pueden comunicar e informar sobre cualquier imagen en la que aparezcan ellos, sus familias, sus coches o domicilios, para que se realicen nuevos difuminados, incluso si la imagen ya ha sido previamente difuminada. Esta herramienta es accesible a través del link en la parte inferior izquierda de todas las imágenes Street View.

En todo caso, la Agencia, en el ejercicio de sus funciones y potestades, realizará el seguimiento y las comprobaciones necesarias para verificar el cumplimiento de la normativa española de protección de datos y garantizar los derechos de los ciudadanos.

Trabajadores: cesión datos

¿Es lícita la comunicación de datos de trabajadores hecha por la empresa a los representantes de los mismos (Comité de Empresa)?

Indica el artículo 11.1 LOPD que:

“Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado”.

No obstante, no se precisará este consentimiento en ciertos casos: cuando una norma con rango de Ley lo prevea o cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros.

Según el informe nº 488/2009 de la Agencia Española de Protección de Datos:

"En el caso de cesión de los datos de los trabajadores, la misma únicamente podría entenderse amparada en caso de que se produjera en el ámbito de las funciones desarrolladas por los Delegados de Personal o el Comité de Empresa (según sea uno u otro al órgano de representación de los trabajadores), al encontrarse reconocido por el Estatuto de los Trabajadores el derecho de los representantes de los trabajadores a acceder a determinados datos de los trabajadores en el ámbito de sus competencias. En caso contrario, será necesario el consentimiento del interesado para proceder a la comunicación de sus datos. De modo que la utilización de los datos por parte  de los representantes de los trabajadores debería limitarse a la finalidad de control que a los mismos atribuye el propio Estatuto.

Concretamente, el articulo 64.1, del Estatuto de los Trabajadores, de 24 de marzo de 1995, que recoge las competencias del Comité de Empresa dispone que: "El comité de empresa tendrá las siguientes competencias: Recibir la copia básica de los contratos a que se refiere el párrafo a) del apartado 3 del articulo 8 y la notificación de las prórrogas y de las denuncias correspondientes a los mismos, en el plazo de los diez días siguientes a que tuvieran lugar.", y el apartado 7° atribuye a dicho órgano " ; Ejercer una labor:

1. De vigilancia en el cumplimiento de las normas vigentes en materia laboral, de Seguridad Social y empleo, así como el resto de los pactos, condiciones y usos de empresa en vigor, formulando, en su caso, las acciones legales oportunas ante el empresario y los organismos o tribunales competentes;

2. De vigilancia y control de las condiciones de seguridad y salud en el desarrollo del trabajo en la empresa, con las particularidades previstas en este orden por el artículo 19 de esta Ley.

3. De vigilancia del respeto y aplicación del principio de igualdad de trato y de oportunidades entre mujeres y hombres.”

Así mismo, en su número 9 señala que “Respetando lo establecido legal o reglamentariamente, en los convenios colectivos se podrán establecer disposiciones específicas relativas al contenido y a las modalidades de ejercicio de los derechos de información y consulta previstos en este artículo, así como al nivel más adecuado para ejercerlos.”

Cualquier cesión de datos de los trabajadores al Comité de Empresa o Delegados de Personal que exceda de las legalmente previstas en el artículo 64.1, 7 y 9 del Estatuto de los Trabajadores o del Convenio Colectivo, deberá contar con el consentimiento del interesado, en este caso de los trabajadores afectados."

De todo ello se deriva que, por ejemplo, el Comité de Empresa no podría sin más acceder a las nóminas de los trabajadores. Para ello tendría que estar autorizado en Convenio, o el trabajador tendría que haberlo consentido expresamente. Ya que "Sólo existe obligación de entregar los TC-1, boletín de cotización para la Seguridad Social en el que se reflejan los datos relativos a la identificación de la empresa y a la determinación de la deuda y el TC-2 en el que aparece reflejada la relación nominal de trabajadores y contiene los datos relativos a la identificación de los trabajadores, a sus bases de cotización y a las prestaciones que les hayan sido satisfechas en régimen de pago delegado."

Consentimiento y LOPD

Como principio general de la LOPD, su artículo 6 indica que los datos sólo pueden ser tratados si su titular lo ha consentido inequívocamente. Se entenderá que existe un consentimiento tácito en los casos previstos en el párrafo 2 del artículo 6.

El consentimiento  puede ser revocado por el titular de los datos cuando haya causa para ello.

Así lo expresa el referido artículo:

Artículo 6. Consentimiento del afectado.

1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa.

2. No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7, apartado 6, de la presente Ley, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado.

3. El consentimiento a que se refiere el artículo podrá ser revocado cuando exista causa justificada para ello y no se le atribuyan efectos retroactivos.

4. En los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de los datos de carácter personal, y siempre que una ley no disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En tal supuesto, el responsable del fichero excluirá del tratamiento los datos relativos al afectado.

Sobre la revocación del consentimiento, aclara el artículo 17.1 del RLOPD, lo siguiente:

Artículo 17. Revocación del consentimiento.

1. El afectado podrá revocar su consentimiento a través de un medio sencillo, gratuito y que no implique ingreso alguno para el responsable del fichero o tratamiento. En particular, se considerará ajustado al presente reglamento el procedimiento en el que tal negativa pueda efectuarse, entre otros, mediante un envío prefranqueado al responsable del tratamiento o la llamada a un número telefónico gratuito o a los servicios de atención al público que el mismo hubiera establecido.

Envío de publicidad y SPAM

Uno de los temas que genera más confusión en relación con la LOPD y LSSI es el de los envíos de publicidad.

¿Qué dice la LOPD sobre el tema?

Exactamente esto:

Artículo 30. Tratamientos con fines de publicidad y de prospección comercial.

1. Quienes se dediquen a la recopilación de direcciones, reparto de documentos, publicidad, venta a distancia, prospección comercial y otras actividades análogas, utilizarán nombres y direcciones u otros datos de carácter personal cuando los mismos figuren en fuentes accesibles al público o cuando hayan sido facilitados por los propios interesados u obtenidos con su consentimiento.

2. Cuando los datos procedan de fuentes accesibles al público, de conformidad con lo establecido en el párrafo segundo del artículo 5.5 de esta Ley, en cada comunicación que se dirija al interesado se informará del origen de los datos y de la identidad del responsable del tratamiento, así como de los derechos que le asisten.

3. En el ejercicio del derecho de acceso los interesados tendrán derecho a conocer el origen de sus datos de carácter personal, así como del resto de información a que se refiere el artículo 15.

4. Los interesados tendrán derecho a oponerse, previa petición y sin gastos, al tratamiento de los datos que les conciernan, en cuyo caso serán dados de baja del tratamiento, cancelándose las informaciones que sobre ellos figuren en aquél, a su simple solicitud.

Entre las fuentes accesibles al público más comunes están las páginas amarillas y los listados de los colegiados de Colegios profesionales (abogados, arquitectos, procuradores, médicos, farmacéuticos y un largo etc…), y sólo para ciertos datos.

Pues bien, con amparo en este artículo 30, son muchos los que piensan que están legitimados para, por ejemplo, enviar publicidad por e-mail a todas las direcciones de correo electrónico profesionales de colegiados publicadas por un determinado colegio profesional de abogados, por poner un supuesto.

Se equivocan gravísimamente. Cuestión distinta es que envíen una carta por correo ordinario al buzón del despacho profesional de los letrados. Eso, si se cumplen el resto de condiciones, sería lícito. Pero claro, hoy día, nadie recurre a ese tipo de publicidad, porque es cara, mientras que el email es gratuito y permite hacer envíos masivos con un solo click de ratón, como suele decirse.

Y se equivocan gravísimamente decía, porque los envíos publicitarios por e-mail están regulados en una norma más específica y que no es otra que la LSSI, que es la que tiene que aplicarse.

El artículo 21.1 de la LSSI hace prohibición expresa de este tipo de envíos y no distingue si los e-mails se han sacado o no de fuentes accesibles al público. Están prohibidos, salvo que haya habido un consentimiento expreso previo o un contrato.

Si quieres hacer publicidad por e-mail, en todos los casos tienes que cumplir esto:

Artículo 21. Prohibición de comunicaciones comerciales realizadas a través de correo electrónico o medios de comunicación electrónica equivalentes.

1. Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.

2. Lo dispuesto en el apartado anterior no será de aplicación cuando exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente.

En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija.

Cuando las comunicaciones hubieran sido remitidas por correo electrónico, dicho medio deberá consistir necesariamente en la inclusión de una dirección electrónica válida donde pueda ejercitarse este derecho, quedando prohibido el envío de comunicaciones que no incluyan dicha dirección.

Si no lo cumples, estás enviando SPAM y eso es totalmente sancionable.

¿Tu multa?

 Puede ser una sanción grave y por tanto hablamos de entre 30.001 y 150.000 euros.

Con suerte, una leve:  hasta 30.000 euritos de nada.

Transferencias internacionales ilegales

Según el artículo 44.4.d) de la LOPD:

4. Son infracciones muy graves:

  d. La transferencia internacional de datos de carácter personal con destino a países que no proporcionen un nivel de protección equiparable sin autorización del Director de la Agencia Española de Protección de Datos salvo en los supuestos en los que conforme a esta Ley y sus disposiciones de desarrollo dicha autorización no resulta necesaria.

Y debes saber que las infracciones muy graves están sancionadas con multas de, al menos, 300.001 euros. Artículo 45.3 LOPD:

Artículo 45. Tipo de sanciones.

3. Las infracciones muy graves serán sancionadas con multa de 300.001 a 600.000 euros.

Ni más ni menos.

Conozco a infinidad de empresarios y profesionales que ahora mismo están incurriendo en esta infracción. Son muchos los que hoy día almacenan datos de carácter personal en servidores que se encuentran ubicados en países que no proporcionan un nivel de seguridad equiparable y que no habrían pedido autorización al Director de la AEPD. Además tampoco se encuentran en ninguna de las excepciones previstas en la Ley.

No dejes estar este tema.

El riesgo es muy alto y tu negocio no lo soportaría: ¿o acaso estás en condiciones de asumir una multa de 300.001 euros?

Cambio de empresa y LOPD

Por distintas operaciones, una empresa puede cambiar de titular y por tanto, de cara a la LOPD, se produce un cambio en el responsable de fichero.

Esta situación está contemplada en el artículo 19 de la referida Ley:

Artículo 19. Supuestos especiales.

En los supuestos en que se produzca una modificación del responsable del fichero como consecuencia de una operación de fusión, escisión, cesión global de activos y pasivos, aportación o transmisión de negocio o rama de actividad empresarial, o cualquier operación de reestructuración societaria de análoga naturaleza, contemplada por la normativa mercantil, no se producirá cesión de datos, sin perjuicio del cumplimiento por el responsable de lo dispuesto en el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre.

O sea, que no estamos ante un supuesto de cesión de datos, pero el nuevo responsable de fichero sí que tendrá que informar a sus clientes y demás titulares de datos de su identidad, domicilio y demás información que se exige en el artículo 5 de la LOPD.

Datos de menores de edad

¿La normativa de protección de datos da el mismo tratamiento a los datos de los menores de edad?

No.

El artículo 13 del RLOPD hace especial referencia a ellos y distingue en función de si tienen más de 14 años o menos.

Esto es lo que dice el artículo:

Artículo 13. Consentimiento para el tratamiento de datos de menores de edad.

1. Podrá procederse al tratamiento de los datos de los mayores de catorce años con su consentimiento, salvo en aquellos casos en los que la Ley exija para su prestación la asistencia de los titulares de la patria potestad o tutela. En el caso de los menores de catorce años se requerirá el consentimiento de los padres o tutores.

2. En ningún caso podrán recabarse del menor, datos que permitan obtener información sobre los demás miembros del grupo familiar, o sobre las características del mismo, como los datos relativos a la actividad profesional de los progenitores, información económica, datos sociológicos o cualesquiera otros, sin el consentimiento de los titulares de tales datos. No obstante, podrán recabarse los datos de identidad y dirección del padre, madre o tutor con la única finalidad de recabar la autorización prevista en el apartado anterior.

3. Cuando el tratamiento se refiera a datos de menores de edad, la información dirigida a los mismos deberá expresarse en un lenguaje que sea fácilmente comprensible por aquéllos, con expresa indicación de lo dispuesto en este artículo.

4. Corresponderá al responsable del fichero o tratamiento articular los procedimientos que garanticen que se ha comprobado de modo efectivo la edad del menor y la autenticidad del consentimiento prestado en su caso, por los padres, tutores o representantes legales.

Códigos tipo

La LOPD habla de los CÓDIGOS TIPO en su artículo 32, que dice esto:

Artículo 32. Códigos tipo.

1. Mediante acuerdos sectoriales, convenios administrativos o decisiones de empresa, los responsables de tratamientos de titularidad pública y privada, así como las organizaciones en que se agrupen, podrán formular códigos tipo que establezcan las condiciones de organización, régimen de funcionamiento, procedimientos aplicables, normas de seguridad del entorno, programas o equipos, obligaciones de los implicados en el tratamiento y uso de la información personal, así como las garantías, en su ámbito, para el ejercicio de los derechos de las personas con pleno respeto a los principios y disposiciones de la presente Ley y sus normas de desarrollo.

2. Los citados códigos podrán contener o no reglas operacionales detalladas de cada sistema particular y estándares técnicos de aplicación.

En el supuesto de que tales reglas o estándares no se incorporen directamente al código, las instrucciones u órdenes que los establecieran deberán respetar los principios fijados en aquél.

3. Los códigos tipo tendrán el carácter de códigos deontológicos o de buena práctica profesional, debiendo ser depositados o inscritos en el Registro General de Protección de Datos y, cuando corresponda, en los creados a estos efectos por las Comunidades Autónomas, de acuerdo con el artículo 41. El Registro General de Protección de Datos podrá denegar la inscripción cuando considere que no se ajusta a las disposiciones legales y reglamentarias sobre la materia, debiendo, en este caso, el Director de la Agencia Española de Protección de Datos requerir a los solicitantes para que efectúen las correcciones oportunas.

Se trata de códigos (que pueden aplicarse a un sector, a una administración o a una empresa) que recogen condiciones de organización, funcionamiento, procedimientos, normas de seguridad, obligaciones del personal y garantías para el ejercicio de derechos sobre protección de datos. 

En definitiva, son códigos de conducta sobre materia de protección datos, con naturaleza de códigos deontólogicos o de buenas prácticas profesionales.

Estos códigos se inscriben en la Agencia Española de Protección Datos y los puedes consultar aquí: 

http://www.agpd.es/portalwebAGPD/canaldocumentacion/codigos_tipo/index-ides-idphp.php