Estimados Srs - Protección de Datos en Andalucía
Transcripción
Estimados Srs - Protección de Datos en Andalucía
INFORME DE ANÁLISIS DE TRATAMIENTO 1. INTRODUCCIÓN Presentamos a continuación el Informe de análisis de tratamiento, con el objeto de auditar el cumplimiento de las disposiciones de la LOPD y el RDLOPD relativas al tratamiento de los datos personales, analizando las siguientes cuestiones: 1. Ámbito de aplicación 2. Calidad de los datos 3. Derecho de información en la recogida de datos 4. Consentimiento del afectado 5. Datos especialmente protegidos 6. Deber de secreto 7. Comunicación de datos 8. Acceso a los datos por cuenta de terceros 9. Derechos de las personas 10. Movimiento internacional de datos En cada uno de estos apartados expondremos la situación actual de los tratamientos de datos, analizando y verificando la adecuación de dichos tratamientos a la legislación vigente y, cuando proceda, proponiendo las medidas correctoras pertinentes para su adecuación. Además, en cada apartado, haremos mención específica de los ficheros que así lo requieran. 2. DEFINICIONES Con el objeto de hacer más comprensible este informe aportamos a continuación las definiciones de algunos conceptos básicos en materia de protección de datos de carácter personal. Afectado: Persona física titular de los datos que sean objeto del tratamiento. Cancelación: Procedimiento en virtud del cual el responsable cesa en el uso de los datos. La cancelación implicará el bloqueo de los datos, consistente en la identificación y reserva de los mismos con el fin de impedir su tratamiento excepto para su puesta a disposición de las Administraciones públicas, Jueces y Tribunales, para la atención de las posibles [1] responsabilidades nacidas del tratamiento y sólo durante el plazo de prescripción de dichas responsabilidades. Transcurrido ese plazo deberá procederse a la supresión de los datos. Cesión o comunicación de datos: Tratamiento de datos que supone su revelación a una persona distinta del interesado. Consentimiento del interesado: Toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen. Datos de carácter personal: Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables. Datos de carácter personal relacionados con la salud: las informaciones concernientes a la salud pasada, presente y futura, física o mental, de un individuo. En particular, se consideran datos relacionados con la salud de las personas los referidos a su porcentaje de discapacidad y a su información genética. Destinatario o cesionario: la persona física o jurídica, pública o privada u órgano administrativo, al que se revelen los datos. Podrán ser también destinatarios los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados. Encargado del tratamiento: La persona física o jurídica, pública o privada, u órgano administrativo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio. Podrán ser también encargados del tratamiento los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados. Exportador de datos personales: la persona física o jurídica, pública o privada, u órgano administrativo situado en territorio español que realice, conforme a lo dispuesto en el presente Reglamento, una transferencia de datos de carácter personal a un país tercero. [2] Fichero: Todo conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso. Ficheros de titularidad privada: los ficheros de los que sean responsables las personas, empresas o entidades de derecho privado, con independencia de quien ostente la titularidad de su capital o de la procedencia de sus recursos económicos, así como los ficheros de los que sean responsables las corporaciones de derecho público, en cuanto dichos ficheros no se encuentren estrictamente vinculados al ejercicio de potestades de derecho público que a las mismas atribuye su normativa específica. Ficheros de titularidad pública: los ficheros de los que sean responsables los órganos constitucionales o con relevancia constitucional del Estado o las instituciones autonómicas con funciones análogas a los mismos, las Administraciones públicas territoriales, así como las entidades u organismos vinculados o dependientes de las mismas y las Corporaciones de derecho público siempre que su finalidad sea el ejercicio de potestades de derecho público. Fichero no automatizado: todo conjunto de datos de carácter personal organizado de forma no automatizada y estructurado conforme a criterios específicos relativos a personas físicas, que permitan acceder sin esfuerzos desproporcionados a sus datos personales, ya sea aquél centralizado, descentralizado o repartido de forma funcional o geográfica. Fuente accesible al público: Se entenderá que sólo tendrán el carácter de fuentes accesibles al público el censo promocional; las guías de servicios de comunicaciones electrónicas, en los términos previstos por su normativa específica; las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección profesional e indicación de su pertenencia al grupo, la dirección profesional podrá incluir los datos del domicilio postal completo, número telefónico, número de fax y dirección electrónica, y en el caso de Colegios profesionales, podrán indicarse como datos de pertenencia al grupo los de número de colegiado, fecha de incorporación y situación de ejercicio profesional; los diarios y boletines oficiales; y los medios de comunicación social. [3] Importador de datos personales: la persona física o jurídica, pública o privada, u órgano administrativo receptor de los datos en caso de transferencia internacional de los mismos a un tercer país, ya sea responsable del tratamiento, encargada del tratamiento o Tercero. LOPD: Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de carácter personal. Nivel del fichero: Son los niveles (básico, medio y alto) por los cuales se clasifican las medidas de seguridad exigibles a los ficheros y tratamientos. Persona identificable: toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social. Una persona física no se considerará identificable si dicha identificación requiere plazos o actividades desproporcionados. RDLOPD: Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Responsable del fichero o del tratamiento: Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que sólo o conjuntamente con otros decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente. Podrán ser también responsables del fichero o del tratamiento los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados. Tercero: la persona física o jurídica, pública o privada u órgano administrativo distinta del afectado o interesado, del responsable del tratamiento, del responsable del fichero, del encargado del tratamiento y de las personas autorizadas para tratar los datos bajo la autoridad directa del responsable del tratamiento o del encargado del tratamiento. Podrán ser también terceros los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados. Transferencia internacional de datos: Tratamiento de datos que supone una transmisión de los mismos fuera del territorio del Espacio Económico Europeo, bien constituya una cesión o comunicación de datos, bien tenga por objeto la realización de un [4] tratamiento de datos por cuenta del responsable del fichero establecido en territorio español. Tratamiento de datos: cualquier operación o procedimiento técnico, sea o no automatizado, que permita la recogida, grabación, conservación, elaboración, modificación, consulta, utilización, modificación, cancelación, bloqueo o supresión, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias. 3. FICHEROS ANALIZADOS Los ficheros analizados son aquellos que anteriormente fueron identificados en la fase de localización de esta Auditoría, respecto a los cuales se comprobó que cumplían el ámbito objetivo de aplicación de la LOPD. Los ficheros localizados son los siguientes: TIPO NOMBRE FINALIDAD NIVEL FORMATO Privado CLIENTES Y Gestión de clientes y Básico Mixto PROVEEDORES proveedores NOMINAS & Gestión de nóminas y Básico Mixto PERSONAL recursos humanos EXPEDIENTES Gestión de expedientes Alto Mixto JURIDICOS jurídicos sobre incapacidad Básico Mixto Privado Privado laboral Privado CONTACTOS Gestión de contactos 4. ÁMBITO DE APLICACIÓN Comprobamos en este punto que los tratamientos de los ficheros se encuentran dentro del ámbito territorial de aplicación de esta normativa. La LOPD nos indica en su artículo 2 que se regirá por la misma todo tratamiento de datos de carácter personal cuando el tratamiento sea efectuado en territorio español en el marco de las actividades de un establecimiento del responsable del tratamiento. Éste es el caso de XXX puesto que los tratamientos son efectuados en territorio español, en un establecimiento permanente en la provincia de Sevilla, por lo que le es de aplicación la LOPD. [5] 5. CALIDAD DE LOS DATOS a. ADECUACIÓN, PERTINENCIA Y NO EXCESO DE LOS DATOS Analizados los datos personales y las finalidades de los distintos ficheros, nos permite concluir que la información recabada es adecuada, pertinente y no excesiva en relación con las correspondientes finalidades, por lo que este requisito se cumple en todos los ficheros. b. EXACTITUD Y ACTUALIZACIÓN DE LOS DATOS Los datos personales incluidos en los ficheros del responsable deben ser exactos y puestos al día de manera que respondan con veracidad a la situación actual del afectado. Presumimos como exactos los datos incluidos en los ficheros, pues los recogidos directamente del afectado, se consideran exactos. Existe una sistemática que permite, sin esfuerzos desproporcionados, la actualización de los datos personales de los ficheros localizados, a excepción del fichero Contactos cuyos datos no se actualizan y recomendamos que se adopten las medidas necesarias para actualizarlos. Este procedimiento tiene en cuenta la obligación legal de sustitución de oficio de los datos personales que resultaran ser inexactos, en todo o en parte, o incompletos, por los correspondientes datos rectificados o completados en el plazo de diez días desde que se tuviese conocimiento de la inexactitud, salvo que la legislación aplicable al fichero establezca un procedimiento o un plazo específico para ello. c. CANCELACIÓN DE DATOS Esta Auditoría recomienda que se eliminen los datos personales que aparezcan en los ficheros que ya no cumplan con la finalidad para la que se recabaron. De ser necesario conservar los datos, éstos deberán almacenarse de conformidad con lo expuesto sobre el bloqueo de datos y sólo por el tiempo en que pueda enfrentar algún tipo de responsabilidad por el tratamiento. En general, no se cumple el bloqueo respecto a ninguno de los ficheros La inobservancia de la obligación de proceder a la actualización o a la cancelación de los datos derivará en una sanción de 60.101,21 € a 300.506,05€, por la falta tipificada en el art. 44. 3. f) LOPD: mantener datos de carácter personal inexactos o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente procedan cuando resulten afectados los derechos de las personas que la presente Ley ampara. [6] 6. DERECHO DE INFORMACIÓN EN LA RECOGIDA DE DATOS Es recomendación de esta Auditoría que, cuando se usen formularios para la recogida de los datos, se prevea que el afectado firme el formulario, si es en soporte papel, o envíe el formulario, si es en soporte informático, justo tras la cláusula informativa pertinente. De esta forma se refuerza el consentimiento prestado por el afectado y se solucionan posibles problemas de prueba referidos a la efectiva prestación de la información. Cuando los datos procedan del propio interesado, pero para su recogida no se usen formularios, sino que se introducen los datos en el fichero tomándolos de conversaciones telefónicas, anotaciones, correos electrónicos, faxes, cartas o cualquier medio similar, el responsable del fichero deberá informar igualmente al afectado. El momento en que ha de prestarse esta información es a la recogida de los datos personales por parte del responsable. No obstante, cuando no sea posible prestar la información en ese momento, el responsable deberá remitirla al afectado en la primera comunicación que le dirija por cualquier medio. Esta Auditoría recomienda que, cuando el afectado se persone en la sede del responsable para facilitar sus datos, tenga a la vista un cartel informativo acerca del tratamiento de sus datos personales, en la que se le indique que tiene derecho a recibir y exigir toda la información relativa al tratamiento de sus datos personales. Recordamos que en este caso la observancia de este procedimiento es obligatoria, y que su inobservancia trae como consecuencia la imposición de una sanción de 601,01 € a 60.101,21€, por la infracción del art. 44. 2 d) LOPD: proceder a la recogida de datos de carácter personal de los propios afectados sin proporcionarles la información que señala el artículo 5 de la presente Ley. El incumplimiento del deber de informar al interesado conlleva, al tiempo de una posible sanción, que no pueda considerarse otorgado el consentimiento del afectado para el tratamiento de los datos personales. Esto es así toda vez que el consentimiento debe entenderse como una manifestación de voluntad libre, inequívoca e informada. Por tanto, faltando la información, faltaría también el consentimiento. 7. CONSENTIMIENTO DEL AFECTADO [7] De los ficheros analizados, debe decirse, en primer lugar, que la obtención del consentimiento del afectado al tratamiento de sus datos personales queda supeditado, en todo caso, a la observancia del deber de información. Como resaltamos anteriormente, ninguno de los ficheros analizados atiende debidamente este deber, por lo que habremos de concluir que el consentimiento del afectado no se obtiene válidamente desde el punto de vista de la protección de los datos de carácter personal. No obstante, todos los ficheros están exencionados salvo el fichero Contactos, por el artículo 6 de la Ley Orgánica 15/1999, de Protección de Datos, de la obligación de recabar el consentimiento. Finalmente, esta Auditoría, siguiendo su práctica habitual, recomienda para el fichero Contactos que aunque sólo se exige consentimiento tácito se obtenga consentimiento por escrito del afectado siempre que sea posible para probar que se ha cumplido con esta obligación. El incumplimiento de la obligación de recoger el consentimiento del afectado derivará en la imposición de una sanción de 60.101,21 € a 300.506,05 €, por la infracción grave del art. 44. 3 d) LOPD: Tratar los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en la presente Ley o con incumplimiento de los preceptos de protección que impongan las disposiciones reglamentarias de desarrollo. Incluimos en el Anexo I de este Informe algunos modelos de cláusulas para obtener el consentimiento. 8. DATOS ESPECIALMENTE PROTEGIDOS Los ficheros de datos de carácter personal, pueden dividirse en tres categorías: a) Nivel básico: Ficheros que contengan datos de carácter personal. b) Nivel medio: Los relativos a la comisión de infracciones administrativas o penales, aquellos cuyo funcionamiento se rija por el artículo 29 de LOPD (prestación de servicios de solvencia y crédito), aquellos de los que sean responsables Administraciones tributarias y se relacionen con el ejercicio de sus potestades tributarias, aquellos de los que sean responsables las entidades financieras para [8] finalidades relacionadas con la prestación de servicios financieros, aquellos de los que sean responsables las Entidades Gestoras y Servicios Comunes de la Seguridad Social y se relacionen con el ejercicio de sus competencias, aquellos de los que sean responsables las mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social, aquellos que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos. c) Nivel alto: Los que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual; los que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las personas afectadas; aquellos que contengan datos derivados de actos de violencia de género; y a los ficheros de los que sean responsables los operadores que presten servicios de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones electrónicas respecto a los datos de tráfico y a los datos de localización. Los que contengan datos de nivel alto son aquellos que la LOPD denomina como “especialmente protegidos”. Por consiguiente, en los ficheros localizados sólo se aprecian datos especialmente protegidos en el fichero expedientes jurídicos de nivel alto por contener, no de manera incidental o accesoria, datos sobre salud como son las incapacidades laborales que guardan relación con la finalidad del fichero. 9. DEBER DE SECRETO Para dar cumplimiento a este deber de secreto, esta Auditoría recomienda la anexión de una cláusula de confidencialidad a los contratos laborales. Esta cláusula, además de exponer el deber de secreto y su contenido y vincular al trabajador, extiende la vigencia de este deber incluso después de terminada la relación laboral. 10. COMUNICACIÓN DE DATOS Se detectan comunicaciones de datos del fichero Clientes y Expedientes jurídicos a la Administración de Justicia y del fichero Nóminas a la Seguridad Social y al INEM que [9] suponen ambos una cesión necesaria. En la cesión necesaria se requiere que el afectado sea informado de la cesión de datos en el momento de la recogida de los datos, o al menos, antes de que dicha cesión se produzca, ya que la Ley no exige que el afectado consienta este tipo de cesiones. 11. ACCESO A LOS DATOS POR CUENTA DE TERCEROS Se localizan por esta Auditoría tratamientos por cuenta de terceros respecto al fichero Contabilidad, Comunidad de Propietarios y Nóminas por parte de XXX. En el caso de XXX como responsable del fichero, debe estarse vigilante por si se contratara la prestación de servicios a un tercero que impliquen el tratamiento de los datos de carácter personal de XXX, en cuyo caso debería firmarse contratos de tratamiento por cuenta de terceros para evitar cesiones ilegales de datos. Sería obligación de XXX la comprobación de que el encargado del tratamiento reúna las garantías para el cumplimiento de lo dispuesto en la normativa de protección de datos, por lo que recomendamos no contratar con aquellos que no cumplan esta normativa. Las cesiones de datos no consentidas suponen una infracción muy grave, sancionada con multa de 60.101,21 € a 300.506,05 €. 12. DERECHOS DE LAS PERSONAS: ACCESO, OPOSICIÓN, RECTIFICACIÓN Y CANCELACIÓN Analizamos ahora estos derechos de forma independiente: a. DERECHO DE ACCESO El derecho de acceso es el derecho del afectado a obtener información sobre si sus propios datos de carácter personal están siendo objeto de tratamiento, la finalidad del tratamiento que, en su caso, se esté realizando, así como la información disponible sobre el origen de dichos datos y las comunicaciones realizadas o previstas de los mismos. b. DERECHO DE RECTIFICACIÓN El derecho de rectificación es el derecho del afectado a que se modifiquen los datos que resulten ser inexactos o incompletos. [10] c. DERECHO DE CANCELACIÓN El ejercicio del derecho de cancelación dará lugar a que se supriman los datos que resulten ser inadecuados o excesivos, sin perjuicio del deber de bloqueo. Igualmente el interesado puede invocar el ejercicio del derecho de cancelación para revocar el consentimiento previamente prestado. d. DERECHO DE OPOSICIÓN El derecho de oposición es el derecho del afectado a que no se lleve a cabo el tratamiento de sus datos de carácter personal o se cese en el mismo en los siguientes supuestos: a) Cuando no sea necesario su consentimiento para el tratamiento, como consecuencia de la concurrencia de un motivo legítimo y fundado, referido a su concreta situación personal, que lo justifique, siempre que una Ley no disponga lo contrario. b) Cuando se trate de ficheros que tengan por finalidad la realización de actividades de publicidad y prospección comercial. c) Cuando el tratamiento tenga por finalidad la adopción de una decisión referida al afectado y basada únicamente en un tratamiento automatizado de sus datos de carácter personal. 13. MOVIMIENTO INTERNACIONAL DE DATOS Toda vez que no se declaran ni detectan este tipo de transferencias de ficheros en la empresa consultada, no haremos más consideraciones acerca de este supuesto. 14. CONCLUSIONES De lo expuesto en este informe podemos concluir respecto al conjunto de ficheros que se debe dar cumplimiento al deber de secreto, así esta Auditoría recomienda la anexión de una cláusula de confidencialidad a los contratos laborales, que además de exponer el deber de secreto y su contenido, y vincular al trabajador, extienda la vigencia de este deber incluso después de terminada la relación laboral. Igualmente, respecto al conjunto de fichero y en lo relativo al ejercicio de los derechos de los afectados de acceso, rectificación, cancelación y oposición, recomendamos la implantación de un procedimiento bajo los axiomas de la sencillez y la gratuidad. En cuanto al consentimiento sólo es obligación recabar consentimiento tácito respecto al fichero Contactos porque el resto de ficheros están exceptuados de esta obligación. [11] De forma individualizada para cada fichero hacemos las siguientes recomendaciones: 1. CLIENTES a) Calidad de datos: Nada que objetar respecto a la adecuación de los datos. Se comprueba periódicamente que los datos personales de este fichero están actualizados. No obstante, recomendamos que se proceda a la cancelación o bloqueo de los datos que ya no sean necesarios para la finalidad que se obtuvieron. b) Derecho de información: Recomendamos implantar la cláusula informativa en las nuevas tomas de datos para este fichero. Igualmente se debe informar a los ya incluidos en el fichero y cuyos datos no sean cancelados según el apartado anterior, a ser posible mediante las comunicaciones habituales con el afectado, añadiendo la cláusula de información con plazo que se recoge en el Anexo I c) Consentimiento: Entendemos que la necesidad de consentimiento está exceptuada por ser un tratamiento necesario entre las partes de un contrato o precontrato de una relación negocial, laboral o administrativa, cuando sean necesarios para su mantenimiento o cumplimiento. d) Datos especialmente protegidos: No encontramos datos especialmente protegidos en este fichero. e) Comunicación de datos: Hay previstas comunicaciones de datos a la Agencia Tributaria y la Administración de Justicia. f) Tratamiento por terceros: No se han localizado tratamientos por cuenta de terceros de este fichero. g) Movimiento internacional de datos: No hay ni se prevén movimientos internacionales de datos. 15. RESUMEN [12] Para finalizar este informe, y esta fase de localización, describimos a continuación mediante Movimiento Terceros Comunicación Protegidos Consentimiento Información Calidad Fichero un cuadro resumen las conclusiones de esta Auditoría. COMUNIDAD DE PROPIETARIOS EXPEDIENTES JURIDICOS CONTACTOS CONTABILIDAD Esto es todo cuanto tenemos que informar en relación al supuesto de hecho sometido a nuestra consideración, sometiéndonos con agrado a cualquier otro criterio mejor fundado en Derecho. En Sevilla a xxx de 2008 Firma electrónica reconocida: [13]