Estimados Srs - Protección de Datos en Andalucía

Estimados Srs - Protección de Datos en Andalucía

INFORME DE ANÁLISIS DE TRATAMIENTO
1. INTRODUCCIÓN
Presentamos a continuación el Informe de análisis de tratamiento, con el objeto de auditar
el cumplimiento de las disposiciones de la LOPD y el RDLOPD relativas al tratamiento de los
datos personales, analizando las siguientes cuestiones:
1.
Ámbito de aplicación
2.
Calidad de los datos
3.
Derecho de información en la recogida de datos
4.
Consentimiento del afectado
5.
Datos especialmente protegidos
6.
Deber de secreto
7.
Comunicación de datos
8.
Acceso a los datos por cuenta de terceros
9.
Derechos de las personas
10.
Movimiento internacional de datos
En cada uno de estos apartados expondremos la situación actual de los tratamientos de
datos, analizando y verificando la adecuación de dichos tratamientos a la legislación
vigente y, cuando proceda, proponiendo las medidas correctoras pertinentes para su
adecuación. Además, en cada apartado, haremos mención específica de los ficheros que así
lo requieran.
2. DEFINICIONES
Con el objeto de hacer más comprensible este informe aportamos a continuación las
definiciones de algunos conceptos básicos en materia de protección de datos de carácter
personal.
Afectado: Persona física titular de los datos que sean objeto del tratamiento.
Cancelación: Procedimiento en virtud del cual el responsable cesa en el uso de los datos.
La cancelación implicará el bloqueo de los datos, consistente en la identificación y reserva
de los mismos con el fin de impedir su tratamiento excepto para su puesta a disposición de
las Administraciones públicas, Jueces y Tribunales, para la atención de las posibles
[1]
responsabilidades nacidas del tratamiento y sólo durante el plazo de prescripción de dichas
responsabilidades. Transcurrido ese plazo deberá procederse a la supresión de los datos.
Cesión o comunicación de datos: Tratamiento de datos que supone su revelación a una
persona distinta del interesado.
Consentimiento del interesado: Toda manifestación de voluntad, libre, inequívoca,
específica e informada, mediante la que el interesado consienta el tratamiento de datos
personales que le conciernen.
Datos de carácter personal: Cualquier información numérica, alfabética, gráfica,
fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o
identificables.
Datos
de
carácter
personal
relacionados
con
la
salud:
las
informaciones
concernientes a la salud pasada, presente y futura, física o mental, de un individuo. En
particular, se consideran datos relacionados con la salud de las personas los referidos a su
porcentaje de discapacidad y a su información genética.
Destinatario o cesionario: la persona física o jurídica, pública o privada u órgano
administrativo, al que se revelen los datos. Podrán ser también destinatarios los entes sin
personalidad jurídica que actúen en el tráfico como sujetos diferenciados.
Encargado del tratamiento: La persona física o jurídica, pública o privada, u órgano
administrativo que, solo o conjuntamente con otros, trate datos personales por cuenta del
responsable del tratamiento o del responsable del fichero, como consecuencia de la
existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su
actuación para la prestación de un servicio. Podrán ser también encargados del tratamiento
los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados.
Exportador de datos personales: la persona física o jurídica, pública o privada, u órgano
administrativo situado en territorio español que realice, conforme a lo dispuesto en el
presente Reglamento, una transferencia de datos de carácter personal a un país tercero.
[2]
Fichero: Todo conjunto organizado de datos de carácter personal, que permita el acceso a
los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad
de su creación, almacenamiento, organización y acceso.
Ficheros de titularidad privada: los ficheros de los que sean responsables las personas,
empresas o entidades de derecho privado, con independencia de quien ostente la
titularidad de su capital o de la procedencia de sus recursos económicos, así como los
ficheros de los que sean responsables las corporaciones de derecho público, en cuanto
dichos ficheros no se encuentren estrictamente vinculados al ejercicio de potestades de
derecho público que a las mismas atribuye su normativa específica.
Ficheros de titularidad pública: los ficheros de los que sean responsables los órganos
constitucionales o con relevancia constitucional del Estado o las instituciones autonómicas
con funciones análogas a los mismos, las Administraciones públicas territoriales, así como
las entidades u organismos vinculados o dependientes de las mismas y las Corporaciones
de derecho público siempre que su finalidad sea el ejercicio de potestades de derecho
público.
Fichero no automatizado: todo conjunto de datos de carácter personal organizado de
forma no automatizada y estructurado conforme a criterios específicos relativos a personas
físicas, que permitan acceder sin esfuerzos desproporcionados a sus datos personales, ya
sea aquél centralizado, descentralizado o repartido de forma funcional o geográfica.
Fuente accesible al público: Se entenderá que sólo tendrán el carácter de fuentes
accesibles al público el censo promocional; las guías de servicios de comunicaciones
electrónicas, en los términos previstos por su normativa específica; las listas de personas
pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre,
título, profesión, actividad, grado académico, dirección profesional e indicación de su
pertenencia al grupo, la dirección profesional podrá incluir los datos del domicilio postal
completo, número telefónico, número de fax y dirección electrónica, y en el caso de
Colegios profesionales, podrán indicarse como datos de pertenencia al grupo los de número
de colegiado, fecha de incorporación y situación de ejercicio profesional; los diarios y
boletines oficiales; y los medios de comunicación social.
[3]
Importador de datos personales: la persona física o jurídica, pública o privada, u
órgano administrativo receptor de los datos en caso de transferencia internacional de los
mismos a un tercer país, ya sea responsable del tratamiento, encargada del tratamiento o
Tercero.
LOPD: Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de carácter
personal.
Nivel del fichero: Son los niveles (básico, medio y alto) por los cuales se clasifican las
medidas de seguridad exigibles a los ficheros y tratamientos.
Persona identificable: toda persona cuya identidad pueda determinarse, directa o
indirectamente, mediante cualquier información referida a su identidad física, fisiológica,
psíquica, económica, cultural o social. Una persona física no se considerará identificable si
dicha identificación requiere plazos o actividades desproporcionados.
RDLOPD: Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de
Protección de Datos de Carácter Personal.
Responsable del fichero o del tratamiento: Persona física o jurídica, de naturaleza
pública o privada, u órgano administrativo, que sólo o conjuntamente con otros decida
sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente.
Podrán ser también responsables del fichero o del tratamiento los entes sin personalidad
jurídica que actúen en el tráfico como sujetos diferenciados.
Tercero: la persona física o jurídica, pública o privada u órgano administrativo distinta del
afectado o interesado, del responsable del tratamiento, del responsable del fichero, del
encargado del tratamiento y de las personas autorizadas para tratar los datos bajo la
autoridad directa del responsable del tratamiento o del encargado del tratamiento. Podrán
ser también terceros los entes sin personalidad jurídica que actúen en el tráfico como
sujetos diferenciados.
Transferencia internacional de
datos:
Tratamiento
de
datos
que
supone
una
transmisión de los mismos fuera del territorio del Espacio Económico Europeo, bien
constituya una cesión o comunicación de datos, bien tenga por objeto la realización de un
[4]
tratamiento de datos por cuenta del responsable del fichero establecido en territorio
español.
Tratamiento de datos:
cualquier operación
o procedimiento técnico, sea
o no
automatizado, que permita la recogida, grabación, conservación, elaboración, modificación,
consulta, utilización, modificación, cancelación, bloqueo o supresión, así como las cesiones
de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.
3. FICHEROS ANALIZADOS
Los ficheros analizados son aquellos que anteriormente fueron identificados en la fase de
localización de esta Auditoría, respecto a los cuales se comprobó que cumplían el ámbito
objetivo de aplicación de la LOPD.
Los ficheros localizados son los siguientes:
TIPO
NOMBRE
FINALIDAD
NIVEL
FORMATO
Privado
CLIENTES Y
Gestión de clientes y
Básico
Mixto
PROVEEDORES
proveedores
NOMINAS &
Gestión de nóminas y
Básico
Mixto
PERSONAL
recursos humanos
EXPEDIENTES
Gestión de expedientes
Alto
Mixto
JURIDICOS
jurídicos sobre incapacidad
Básico
Mixto
Privado
Privado
laboral
Privado
CONTACTOS
Gestión de contactos
4. ÁMBITO DE APLICACIÓN
Comprobamos en este punto que los tratamientos de los ficheros se encuentran dentro del
ámbito territorial de aplicación de esta normativa. La LOPD nos indica en su artículo 2 que
se regirá por la misma todo tratamiento de datos de carácter personal cuando el
tratamiento sea efectuado en territorio español en el marco de las actividades de un
establecimiento del responsable del tratamiento.
Éste es el caso de XXX puesto que los tratamientos son efectuados en territorio español, en
un establecimiento permanente en la provincia de Sevilla, por lo que le es de aplicación la
LOPD.
[5]
5. CALIDAD DE LOS DATOS
a. ADECUACIÓN, PERTINENCIA Y NO EXCESO DE LOS DATOS
Analizados los datos personales y las finalidades de los distintos ficheros, nos permite
concluir que la información recabada es adecuada, pertinente y no excesiva en relación con
las correspondientes finalidades, por lo que este requisito se cumple en todos los ficheros.
b. EXACTITUD Y ACTUALIZACIÓN DE LOS DATOS
Los datos personales incluidos en los ficheros del responsable deben ser exactos y puestos
al día de manera que respondan con veracidad a la situación actual del afectado.
Presumimos como exactos los datos incluidos en los ficheros, pues los recogidos
directamente del afectado, se consideran exactos.
Existe una sistemática que permite, sin esfuerzos desproporcionados, la actualización de
los datos personales de los ficheros localizados, a excepción del fichero Contactos cuyos
datos no se actualizan y recomendamos que se adopten las medidas necesarias para
actualizarlos. Este procedimiento tiene en cuenta la obligación legal de sustitución de oficio
de los datos personales que resultaran ser inexactos, en todo o en parte, o incompletos,
por los correspondientes datos rectificados o completados en el plazo de diez días desde
que se tuviese conocimiento de la inexactitud, salvo que la legislación aplicable al fichero
establezca un procedimiento o un plazo específico para ello.
c. CANCELACIÓN DE DATOS
Esta Auditoría recomienda que se eliminen los datos personales que aparezcan en los
ficheros que ya no cumplan con la finalidad para la que se recabaron. De ser necesario
conservar los datos, éstos deberán almacenarse de conformidad con lo expuesto sobre el
bloqueo de datos y sólo por el tiempo en que pueda enfrentar algún tipo de responsabilidad
por el tratamiento. En general, no se cumple el bloqueo respecto a ninguno de los ficheros
La inobservancia de la obligación de proceder a la actualización o a la cancelación de los
datos derivará en una sanción de 60.101,21 € a 300.506,05€, por la falta tipificada en el
art. 44. 3. f) LOPD: mantener datos de carácter personal inexactos o no efectuar las
rectificaciones o cancelaciones de los mismos que legalmente procedan cuando resulten
afectados los derechos de las personas que la presente Ley ampara.
[6]
6. DERECHO DE INFORMACIÓN EN LA RECOGIDA DE DATOS
Es recomendación de esta Auditoría que, cuando se usen formularios para la recogida de
los datos, se prevea que el afectado firme el formulario, si es en soporte papel, o envíe el
formulario, si es en soporte informático, justo tras la cláusula informativa pertinente. De
esta forma se refuerza el consentimiento prestado por el afectado y se solucionan posibles
problemas de prueba referidos a la efectiva prestación de la información.
Cuando los datos procedan del propio interesado, pero para su recogida no se usen
formularios, sino que se introducen los datos en el fichero tomándolos de conversaciones
telefónicas, anotaciones, correos electrónicos, faxes, cartas o cualquier medio similar, el
responsable del fichero deberá informar igualmente al afectado.
El momento en que ha de prestarse esta información es a la recogida de los datos
personales por parte del responsable. No obstante, cuando no sea posible prestar la
información en ese momento, el responsable deberá remitirla al afectado en la primera
comunicación que le dirija por cualquier medio.
Esta Auditoría recomienda que, cuando el afectado se persone en la sede del responsable
para facilitar sus datos, tenga a la vista un cartel informativo acerca del tratamiento de sus
datos personales, en la que se le indique que tiene derecho a recibir y exigir toda la
información relativa al tratamiento de sus datos personales.
Recordamos que en este caso la observancia de este procedimiento es obligatoria, y que su
inobservancia trae como consecuencia la imposición de una sanción de 601,01 € a
60.101,21€, por la infracción del art. 44. 2 d) LOPD: proceder a la recogida de datos de
carácter personal de los propios afectados sin proporcionarles la información que señala el
artículo 5 de la presente Ley.
El incumplimiento del deber de informar al interesado conlleva, al tiempo de una posible
sanción, que no pueda considerarse otorgado el consentimiento del afectado para el
tratamiento de los datos personales. Esto es así toda vez que el consentimiento debe
entenderse como una manifestación de voluntad libre, inequívoca e informada. Por tanto,
faltando la información, faltaría también el consentimiento.
7. CONSENTIMIENTO DEL AFECTADO
[7]
De los ficheros analizados, debe decirse, en primer lugar, que la obtención del
consentimiento del afectado al tratamiento de sus datos personales queda supeditado, en
todo caso, a la observancia del deber de información. Como resaltamos anteriormente,
ninguno de los ficheros analizados atiende debidamente este deber, por lo que habremos
de concluir que el consentimiento del afectado no se obtiene válidamente desde el punto de
vista de la protección de los datos de carácter personal.
No obstante, todos los ficheros
están exencionados salvo el fichero Contactos, por el
artículo 6 de la Ley Orgánica 15/1999, de Protección de Datos, de la obligación de recabar
el consentimiento.
Finalmente, esta Auditoría, siguiendo su práctica habitual, recomienda para el fichero
Contactos que aunque sólo se exige consentimiento tácito se obtenga consentimiento por
escrito del afectado siempre que sea posible para probar que se ha cumplido con esta
obligación.
El incumplimiento de la obligación de recoger el consentimiento del afectado derivará en la
imposición de una sanción de 60.101,21 € a 300.506,05 €, por la infracción grave del art.
44. 3 d) LOPD: Tratar los datos de carácter personal o usarlos posteriormente con
conculcación de los principios y garantías establecidos en la presente Ley o con
incumplimiento
de
los
preceptos
de
protección
que
impongan
las
disposiciones
reglamentarias de desarrollo.
Incluimos en el Anexo I de este Informe algunos modelos de cláusulas para obtener el
consentimiento.
8. DATOS ESPECIALMENTE PROTEGIDOS
Los ficheros de datos de carácter personal, pueden dividirse en tres categorías:
a) Nivel básico: Ficheros que contengan datos de carácter personal.
b) Nivel medio: Los relativos a la comisión de infracciones administrativas o penales,
aquellos cuyo funcionamiento se rija por el artículo 29 de LOPD (prestación de
servicios
de
solvencia
y
crédito),
aquellos
de
los
que
sean
responsables
Administraciones tributarias y se relacionen con el ejercicio de sus potestades
tributarias, aquellos de los que sean responsables las entidades financieras para
[8]
finalidades relacionadas con la prestación de servicios financieros, aquellos de los
que sean responsables las Entidades Gestoras y Servicios Comunes de la Seguridad
Social y se relacionen con el ejercicio de sus competencias, aquellos de los que sean
responsables las mutuas de accidentes de trabajo y enfermedades profesionales de
la Seguridad Social, aquellos que contengan un conjunto de datos de carácter
personal que ofrezcan una definición de las características o de la personalidad de
los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o
del comportamiento de los mismos.
c) Nivel alto: Los que se refieran a datos de ideología, afiliación sindical, religión,
creencias, origen racial, salud o vida sexual; los que contengan o se refieran a datos
recabados para fines policiales sin consentimiento de las personas afectadas;
aquellos que contengan datos derivados de actos de violencia de género; y a los
ficheros de los que sean responsables los operadores que presten servicios de
comunicaciones electrónicas disponibles al público o exploten redes públicas de
comunicaciones electrónicas respecto a los datos de tráfico y a los datos de
localización.
Los que contengan datos de nivel alto son aquellos que la LOPD denomina como
“especialmente protegidos”.
Por consiguiente, en los ficheros localizados sólo se aprecian datos especialmente
protegidos en el fichero expedientes jurídicos de nivel alto por contener, no de manera
incidental o accesoria, datos sobre salud como son las incapacidades laborales que guardan
relación con la finalidad del fichero.
9. DEBER DE SECRETO
Para dar cumplimiento a este deber de secreto, esta Auditoría recomienda la anexión de
una cláusula de confidencialidad a los contratos laborales. Esta cláusula, además de
exponer el deber de secreto y su contenido y vincular al trabajador, extiende la vigencia de
este deber incluso después de terminada la relación laboral.
10.
COMUNICACIÓN DE DATOS
Se detectan comunicaciones de datos del fichero Clientes y Expedientes jurídicos a la
Administración de Justicia y del fichero Nóminas a la Seguridad Social y al INEM que
[9]
suponen ambos una cesión necesaria. En la cesión necesaria se requiere que el afectado
sea informado de la cesión de datos en el momento de la recogida de los datos, o al
menos, antes de que dicha cesión se produzca, ya que la Ley no exige que el afectado
consienta este tipo de cesiones.
11.
ACCESO A LOS DATOS POR CUENTA DE TERCEROS
Se localizan por esta Auditoría tratamientos por cuenta de terceros respecto al fichero
Contabilidad, Comunidad de Propietarios y Nóminas por parte de XXX.
En el caso de XXX como responsable del fichero, debe estarse vigilante por si se contratara
la prestación de servicios a un tercero que impliquen el tratamiento de los datos de
carácter personal de XXX, en cuyo caso debería firmarse contratos de tratamiento por
cuenta de terceros para evitar cesiones ilegales de datos.
Sería obligación de XXX la comprobación de que el encargado del tratamiento reúna las
garantías para el cumplimiento de lo dispuesto en la normativa de protección de datos, por
lo que recomendamos no contratar con aquellos que no cumplan esta normativa.
Las cesiones de datos no consentidas suponen una infracción muy grave, sancionada con
multa de 60.101,21 € a 300.506,05 €.
12.
DERECHOS
DE LAS PERSONAS: ACCESO, OPOSICIÓN, RECTIFICACIÓN Y
CANCELACIÓN
Analizamos ahora estos derechos de forma independiente:
a. DERECHO DE ACCESO
El derecho de acceso es el derecho del afectado a obtener información sobre si sus propios
datos de carácter personal están siendo objeto de tratamiento, la finalidad del tratamiento
que, en su caso, se esté realizando, así como la información disponible sobre el origen de
dichos datos y las comunicaciones realizadas o previstas de los mismos.
b. DERECHO DE RECTIFICACIÓN
El derecho de rectificación es el derecho del afectado a que se modifiquen los datos que
resulten ser inexactos o incompletos.
[10]
c. DERECHO DE CANCELACIÓN
El ejercicio del derecho de cancelación dará lugar a que se supriman los datos que resulten
ser inadecuados o excesivos, sin perjuicio del deber de bloqueo. Igualmente el interesado
puede invocar el ejercicio del derecho de cancelación para revocar el consentimiento
previamente prestado.
d. DERECHO DE OPOSICIÓN
El derecho de oposición es el derecho del afectado a que no se lleve a cabo el tratamiento
de sus datos de carácter personal o se cese en el mismo en los siguientes supuestos:
a) Cuando no sea necesario su consentimiento para el tratamiento, como consecuencia
de la concurrencia de un motivo legítimo y fundado, referido a su concreta situación
personal, que lo justifique, siempre que una Ley no disponga lo contrario.
b) Cuando se trate de ficheros que tengan por finalidad la realización de actividades de
publicidad y prospección comercial.
c) Cuando el tratamiento tenga por finalidad la adopción de una decisión referida al
afectado y basada únicamente en un tratamiento automatizado de sus datos de
carácter personal.
13.
MOVIMIENTO INTERNACIONAL DE DATOS
Toda vez que no se declaran ni detectan este tipo de transferencias de ficheros en la
empresa consultada, no haremos más consideraciones acerca de este supuesto.
14.
CONCLUSIONES
De lo expuesto en este informe podemos concluir respecto al conjunto de ficheros que se
debe dar cumplimiento al deber de secreto, así esta Auditoría recomienda la anexión de
una cláusula de confidencialidad a los contratos laborales, que además de exponer el deber
de secreto y su contenido, y vincular al trabajador, extienda la vigencia de este deber
incluso después de terminada la relación laboral. Igualmente, respecto al conjunto de
fichero y en lo relativo al ejercicio de los derechos de los afectados de acceso, rectificación,
cancelación y oposición, recomendamos la implantación de un procedimiento bajo los
axiomas de la sencillez y la gratuidad. En cuanto al consentimiento sólo es obligación
recabar consentimiento tácito respecto al fichero Contactos porque el resto de ficheros
están exceptuados de esta obligación.
[11]
De forma individualizada para cada fichero hacemos las siguientes recomendaciones:
1. CLIENTES
a) Calidad de datos: Nada que objetar respecto a la adecuación de los datos. Se
comprueba periódicamente que los datos personales de este fichero están
actualizados. No obstante, recomendamos que se proceda a la cancelación o
bloqueo de los datos que ya no sean necesarios para la finalidad que se obtuvieron.
b) Derecho de información: Recomendamos implantar la cláusula informativa en las
nuevas tomas de datos para este fichero. Igualmente se debe informar a los ya
incluidos en el fichero y cuyos datos no sean cancelados según el apartado anterior,
a ser posible mediante las comunicaciones habituales con el afectado, añadiendo la
cláusula de información con plazo que se recoge en el Anexo I
c) Consentimiento: Entendemos que la necesidad de consentimiento está exceptuada
por ser un tratamiento necesario entre las partes de un contrato o precontrato de
una relación negocial, laboral o administrativa, cuando sean necesarios para su
mantenimiento o cumplimiento.
d) Datos
especialmente
protegidos:
No
encontramos
datos
especialmente
protegidos en este fichero.
e) Comunicación de datos: Hay previstas comunicaciones de datos a la Agencia
Tributaria y la Administración de Justicia.
f)
Tratamiento por terceros: No se han localizado tratamientos por cuenta de
terceros de este fichero.
g) Movimiento internacional de datos:
No
hay ni
se prevén
movimientos
internacionales de datos.
15.
RESUMEN
[12]
Para finalizar este informe, y esta fase de localización, describimos a continuación mediante
Movimiento
Terceros
Comunicación
Protegidos
Consentimiento
Información
Calidad
Fichero
un cuadro resumen las conclusiones de esta Auditoría.
COMUNIDAD DE PROPIETARIOS
EXPEDIENTES JURIDICOS
CONTACTOS
CONTABILIDAD
Esto es todo cuanto tenemos que informar en relación al supuesto de hecho sometido a
nuestra consideración, sometiéndonos con agrado a cualquier otro criterio mejor fundado
en Derecho.
En Sevilla a xxx de 2008
Firma electrónica reconocida:
[13]