modulo 4 pdp

PROTECCION DE DATOS PERSONALES Y LSSICE

PRODAFOR CONSULTORÍA SL CIF B24583668 INSCRITA EN EL REGISTRO MERCANTIL DE LEON TOMO 1149 FOLIO 1 HOJA Nº 19265

C/ LUIS CARMONA, 5 BAJO LEON 24002 Telf 987 23 82 30 Fax 987 22 20 11 www.prodafor.es

MÓDULO 4.

Los Principios de Protección de Datos de Carácter Personal

______________________________________________________ CONTENIDOS DEL MÓDULO 4:

1. Principios de Protección de Datos y Deber de Información.

1.1 Calidad de los datos

1.2 Información

1.3 Consentimiento del interesado

1.4 Cesión de Datos y Encargo de Tratamiento.

2. El Deber de Secreto.

3. Supuestos Especiales.

4. Ejercicios Prácticos.




PRINCIPIOS DE PROTECCIÓN DE DATOS

Los principios de protección de datos se encuentran regulados en el

Titulo II del RD 1720/2007. Su fundamentación es indicarnos cómo se

deben recoger, tratar e incluso ceder los datos personales para NO

vulnerar los derechos de sus titulares y para garantizar su intimidad.

De este modo, el tratamiento de datos de carácter personal debe

realizarse de acuerdo con los principios establecidos por el RDLOPD:

CALIDAD, INFORMACIÓN, CONSENTIMIENTO, CESIÓN Y ENCARGO DE

TRATAMIENTO.

El Titulo II del RDLOPD comprende el siguiente articulado relativo a los

Principios de Protección de Datos:

-Principio de Calidad de los Datos: artículo 8 RDLOPD

-Deber de Información y Consentimiento: artículos 12, 13 y 14

RDLOPD.

-Cesión de Datos: artículo 10 RDLOPD

-Encargo de Tratamiento: artículos 20, 21 y 22 RDLOPD.

Veamos en qué consisten cada uno de estos principios:




1. CALIDAD DE LOS DATOS

Los datos recabados por la empresa deben adecuarse al principio de

calidad, que exige que los mismos sean adecuados a la finalidad para

la cual se han recogido. El principio de Calidad implica lo siguiente:

� Los datos deben tratarse de manera leal y lícita.

� Los datos deben recogerse con fines determinados, explícitos y

legítimos.

� Deben ser adecuados, pertinentes y no excesivos en relación con

la finalidad para la que se han recogido.

� Los datos deben ser exactos y mantenerse actualizados de

manera que respondan a la situación actual de su titular con

veracidad.

� Los datos personales sólo deben conservarse durante el tiempo

necesario para las finalidades del tratamiento para el que fueron

recogidos y serán cancelados cuando hayan dejado de ser

necesarios o pertinentes para dicho fin.

� Todo RESPONSABLE o ENCARGADO de tratamiento tiene que

adoptar todas las medidas necesarias para garantizar la

seguridad de los datos personales e impedir cualquier alteración,

pérdida, tratamiento o acceso no autorizado.

2. INFORMACIÓN

La información es una obligación del Responsable que recoge y trata

datos personales.




El artículo 5 de la LOPD regula el derecho de los interesados a ser

informados y establece el contenido de la información mínima que la

entidad debe facilitar a los titulares de los datos objeto de tratamiento.

La obligación de informar es primordial, ya que condiciona el ejercicio

de los derechos de acceso, rectificación, cancelación y oposición.

Como norma general, la empresa debe facilitar la información en el

momento de la recogida de los datos. Dicha información comprenderá

los siguientes extremos:

� la incorporación de los datos a un fichero

� la finalidad del fichero

� los destinatarios de la información

� del carácter obligatorio o facultativo de su respuesta así como

de las consecuencias derivadas de la obtención de los datos o

de su negativa a suministrarlos.

� de la posibilidad de ejercitar los derechos de acceso,

rectificación, cancelación y oposición.

� de la identidad y dirección del responsable del fichero.

Así pues, toda entidad que recabe datos personales debe dar

cumplimiento al deber de Información con independencia de la forma

en que los haya recabado. Generalmente, la forma en que las

empresas obtienen los datos personales de sus clientes y de otros

interesados son:

• Directamente del titular de los datos.

• De fuentes accesibles al público.

• A través de terceras personas distintas del interesado.

PROTECCION DE DATOS PERSONALES

PRODAFOR CONSULTORÍA SL CIF B24583668 INSCRITA EN EL REGISTRO MERCANTIL DE LEON TOMO 1149 FOLIO 1 HOJA Nº


Veamos el modo de INFORMAR

DIRECTAMENTE DEL INTERESADO

la obtención de los datos directamente del interesado son:

- Formularios en papel

- Encuestas

- Formularios electrónicos a

través de Internet

- Teléfono o fax.

En este caso, el Responsable del fichero informará

a la recogida de los datos personales, de los extremos señalados en el

artículo 5 de la LOPD.

cláusula informativa legible en dichos formularios o en alguno de los

documentos emitidos por la empresa

albaranes, contratos o

FUENTES ACCESIBLES AL PÚBLICO

La LOPD define fuentes accesibles al público, como

ccuuyyaa ccoonnssuullttaa ppuueeddee

ppoorr uunnaa nnoorrmmaa lliimmiittaattiivv

ddee uunnaa ccoonnttrraapprreessttaaccii

Es decir, son fuentes de información que están a disposición del público

en general y que pueden consultarse por cualquier persona, siempre

que no lo impida una norma.

PERSONALES Y LSSICE

PRODAFOR CONSULTORÍA SL CIF B24583668 INSCRITA EN EL REGISTRO MERCANTIL DE LEON TOMO 1149 FOLIO 1 HOJA Nº

el modo de INFORMAR en cada uno de estos supuestos:

DIRECTAMENTE DEL INTERESADO: los procedimientos más utilizados para


en papel

Formularios electrónicos a

En este caso, el Responsable del fichero informará con carácter previo


artículo 5 de la LOPD. Para ello lo más recomendable es incluir una


documentos emitidos por la empresa, tales como

o facturas.

FUENTES ACCESIBLES AL PÚBLICO:

a LOPD define fuentes accesibles al público, como “aaqquu

sseerr rreeaalliizzaaddaa ppoorr ccuuaallqquuiieerr ppeerrssoonnaa,,

vvaa,, oo ssiinn mmááss eexxiiggeenncciiaa qquuee,, eenn ssuu ccaa

iióónn””..

es de información que están a disposición del público


que no lo impida una norma.


en cada uno de estos supuestos:

: los procedimientos más utilizados para


con carácter previo


Para ello lo más recomendable es incluir una


, tales como presupuestos,

uueellllooss ffiicchheerrooss

nnoo iimmppeeddiiddaa

aassoo,, eell aabboonnoo

es de información que están a disposición del público





Tienen la consideración de fuentes accesibles al público,

exclusivamente, el censo promocional, los repertorios telefónicos en los

términos previstos por su normativa específica y las listas de personas

pertenecientes a grupos de profesionales que contengan únicamente

los datos de nombre, título, profesión, actividad, grado académico,

dirección e indicación de su pertenencia al grupo. Asimismo, tienen el

carácter de fuentes de acceso público, los Diarios y Boletines oficiales y

los medios de comunicación.

Las empresas que traten datos procedentes de alguna de estas fuentes,

con fines publicitarios o de prospección comercial, deberán incluir una

cláusula en cada documento publicitario que envíen informando y

concretando los siguientes aspectos:

- El origen de los datos

- La identidad del responsable del fichero

- Los derechos que le asisten.

TERCERAS PERSONAS DISTINTAS DEL INTERESADO: son los supuestos en

que una persona distinta al propio titular de los datos personales, facilita

a la empresa los datos de éste. En estos casos, el responsable del

fichero deberá informar al interesado de forma expresa, precisa e

inequívoca en el plazo de tres meses contados desde el registro de los

datos.

A continuación se inserta un ejemplo de cláusula que permite cumplir

con el DEBER DE INFORMACIÓN.

No obstante, la redacción de estas cláusulas debe siempre adaptarse

a cada organización y al modo en que se tratan los datos personales,




pues una cláusula genérica no responderá a los distintos tratamientos

que pueden realizarse:

EJEMPLO DE CLÁUSULA INFORMATIVA:

En virtud de lo establecido en la Ley Orgánica 15/1999 de 13 de

Diciembre, sobre Protección de Datos de Carácter Personal, le

informamos que sus datos van a ser incluidos en los ficheros de

nuestra organización con la finalidad de [SEÑALAR FINALIDAD]. A

tal efecto el interesado otorga su consentimiento para el

tratamiento de sus datos personales, salvo que en el plazo de 30

días manifieste lo contrario. Así mismo, le informamos que los

datos facilitados tienen carácter obligatorio para el cumplimiento

de la finalidad descrita.

El responsable de este fichero es [NOMBRE DE LA EMPRESA] ante

quien usted podrá ejercitar sus derechos de acceso,

rectificación, cancelación y oposición mediante escrito dirigido a

las oficinas situadas en [DIRECCIÓN] adjuntando copia de su DNI.

Por último, la información debe facilitarse a cualquier titular de datos

personales (clientes, empleados, candidatos a procesos de selección

de personal, etc…) por lo que el texto de los avisos legales deben

adaptarse a cada uno de esos colectivos.




3. CONSENTIMIENTO DEL INTERESADO

El deber de información que se ha analizado en el apartado anterior,

está directamente relacionado con el principio del consentimiento, ya

que no puede consentirse aquello que no se conoce.

La información, como se ha visto, deber ser previa a la recogida de los

datos mientras que el consentimiento tiene por finalidad que el

interesado conozca y permita el uso y tratamiento posterior de sus

datos personales.

El Reglamento de Desarrollo de la LOPD establece en su artículo 14 un

procedimiento para recabar el consentimiento del interesado siempre

que no sea obligatoria la obtención del consentimiento expreso.

Debemos saber que, como norma general, el Responsable del fichero

deberá obtener el consentimiento del interesado para el tratamiento de

sus datos personales, salvo en aquellos supuestos en que el mismo no

sea exigible con arreglo a lo dispuesto en las leyes.

Por tanto, los datos personales de un ciudadano sólo pueden tratarse,

es decir, recogerse y emplearse, en los casos siguientes:

1. Cuando el interesado ha dado su consentimiento.

2. Cuando el tratamiento sea autorizado por una ley sin requerir el

consentimiento inequívoco de su titular.

3. Cuando el tratamiento sea necesario para cumplir o mantener un

contrato o precontrato de una relación negocial, laboral o

administrativa.




4. Cuando el tratamiento de los datos tenga por finalidad proteger

un interés vital del interesado. Este supuesto se refiere al

tratamiento de datos personales relativos a la salud,

concretamente a aquel que sea necesario para diagnósticos

médicos, prestación de asistencia sanitaria o tratamientos

médicos, siempre que se realice por un profesional sanitario sujeto

al secreto profesional.

5. Cuando los datos figuren en fuentes accesibles al público y su

tratamiento sea necesario para la satisfacción del interés legítimo

del responsable del fichero o de un tercero a quien se

comuniquen los datos, siempre que no se vulneren los derechos y

libertades fundamentales del interesado.

6. Cuando los datos personales se recojan para cumplir las funciones

de las Administraciones Públicas en el ámbito de sus

competencias.

Existen dos tipos de consentimiento:

� Tácito: no consiste en una declaración de voluntad del

interesado si no que se deduce de su falta de manifestación o de

su silencio.

EJEMPLO: si en un plazo de treinta días no manifiesta lo contrario, se

entiende que consiente…

� Expreso o explícito: el consentimiento expreso consiste en una

manifestación del interesado de forma clara e inequívoca

aceptando el tratamiento o cesión de sus datos. Puede realizarse

en forma escrita, mediante comunicación telemática o por

cualquier otro medio.




Siempre que el consentimiento sea necesario, deberá constar por

escrito, ya que corresponde al Responsable del fichero la prueba de la

existencia del mismo. Es válido cualquier medio de prueba admisible en

derecho pero la mejor opción es documentarlo en papel para que

quede constancia del mismo.

EJEMPLO DE CLÁUSULA DE CONSENTIMIENTO:

He sido informado de que los datos que facilito serán

incorporados al fichero [CLIENTES Y/O PROVEEDORES] del que

es Responsable [NOMBRE EMPRESA] con la finalidad de

[GESTIÓN DE PEDIDOS, FACTURACIÓN, PROSPECCION

COMERCIAL, ETC] y manifiesto mi consentimiento. Así mismo, se

me ha informado de la posibilidad de ejercitar gratuitamente

mis derechos de acceso, rectificación, cancelación y

oposición ante el Responsable del Fichero.

Es importante destacar que la normativa establece que deberá

facilitarse un medio sencillo y gratuito al interesado para que pueda

manifestar su negativa al tratamiento de sus datos personales. Por

ejemplo, la llamada a un número de teléfono gratuito o el envío

prefranqueado al responsable del fichero.




4. ENCARGO DE TRATAMIENTO

En la práctica es frecuente confundir ENCARGO DE TRATAMIENTO y

CESIÓN DE DATOS. Sin embargo se trata de dos supuestos distintos y es

importante comprender sus diferencias ya que el régimen jurídico y por

tanto las obligaciones derivadas de cada uno de ellos, son también

diferentes.

En primer lugar vamos a recordar ambas definiciones, recogidas en la

LOPD y expuestas en un capítulo anterior de esta acción formativa:

ENCARGADO DEL TRATAMIENTO: PPeerrssoonnaa ffííssiiccaa oo jjuurrííddiiccaa,, ddee nnaattuurraalleezzaa

ppúúbblliiccaa oo pprriivvaaddaa,, qquuee ttrraattaa ddaattooss ppeerrssoonnaalleess ppoorr ccuueennttaa ddeell

rreessppoonnssaabbllee ddeell ffiicchheerroo,, ccoommoo ccoonnsseeccuueenncciiaa ddee llaa eexxiisstteenncciiaa ddee uunnaa

rreellaacciióónn jjuurrííddiiccaa qquuee llee vviinnccuullaa ccoonn eell mmiissmmoo yy ddeelliimmiittaa eell áámmbbiittoo ddee ssuu

aaccttuuaacciióónn ppaarraa llaa pprreessttaacciióónn ddee uunn sseerrvviicciioo..

CESIÓN O COMUNICACIÓN DE DATOS: TTrraattaammiieennttoo ddee ddaattooss qquuee

ssuuppoonnee ssuu rreevveellaacciióónn aa uunnaa ppeerrssoonnaa ddiissttiinnttaa ddeell iinntteerreessaaddoo..

Es decir, CESIÓN DE DATOS es uno de los distintos tratamientos de datos

de carácter personal consistente en la comunicación de los mismos a

un tercero distinto del afectado.

Mientras que ENCARGO DE TRATAMIENTO es aquel supuesto en el que

el Responsable contrata a una tercera entidad ajena a su organización

para que le preste un determinado servicio, servicio cuya realización

implica necesariamente que ese tercero (denominado Encargado del

tratamiento) tenga acceso a los datos personales contenidos en los

ficheros titularidad del Responsable.




Algunos ejemplos de encargo de tratamiento son:

- Asesoría Laboral: el Responsable encomienda la realización de las

nóminas de sus empleados y este servicio implica necesariamente

el acceso a datos personales por parte de la Asesoría.

- Empresa de mantenimiento o soporte informático: el Responsable

encomienda el mantenimiento de sus sistemas y este servicio

implica necesariamente el acceso a los datos almacenados en

los ordenadores por parte de la empresa de informática.

Cuando el Responsable del Fichero contrata este tipo de servicios, se

produce una situación de ACCESO AL FICHERO por cuenta de terceros.

La principal diferencia pues, entre comunicación de datos y encargo

de tratamiento, radica en la PRESTACIÓN DE UN SERVICIO AL

RESPONSABLE. Esta cuestión es realmente significativa, pues constituye

la principal nota diferenciadora entre ambos supuestos.

El artículo 20 del RDLOPD señala que “el acceso a los datos por parte de

un Encargado de tratamiento que resulte necesario para la prestación

de un servicio al Responsable NO SE CONSIDERARÁ COMUNICACIÓN

DE DATOS”.

Por tanto, CESIÓN y ENCARGO son diferentes supuestos lo que implica

que también sean diferentes las obligaciones derivadas de cada uno

de ellos.

Veamos dicha obligaciones:




PRIMERA: En el supuesto de comunicación o cesión de datos, el

responsable del fichero está obligado a recabar el consentimiento del

interesado (salvo las excepciones señaladas en el artículo 11 LOPD)

mientras que en el supuesto de encargo de tratamiento el responsable

NO está obligado a recabar el consentimiento del afectado para que

un tercero pueda acceder y tratar sus datos personales para la

prestación de determinado servicio.

Así pues, en los supuestos de cesión, lo más conveniente es que el

Responsable redacte un texto para obtener el consentimiento del titular

de los datos.

EJEMPLO DE CLÁUSULA DE CESIÓN DE DATOS:

He sido informado de que los datos personales que facilito se

incluirán en el fichero [NOMBRE DEL FICHERO] cuyo Responsable es

[NOMBRE EMPRESA] con la finalidad de [SEÑALAR FINALIDAD].

Manifiesto expresamente mi consentimiento y autorizo la

comunicación o revelación de mis datos personales a la empresa

[NOMBRE DE LA EMPRESA DESTINATARIA DE LOS DATOS] con la

finalidad exclusiva de [RECIBIR INFORMACIÓN COMERCIAL].

Así mismo, se me ha informado de la posibilidad de ejercitar

gratuitamente mis derechos de acceso, rectificación, cancelación y

oposición mediante escrito dirigido a la empresa [RESPONSABLE]

adjuntando copia de mi DNI.

SEGUNDA: La segunda diferencia entre ambos supuestos consiste en que, en la

comunicación o cesión de datos entre dos organizaciones, la que recibe los

mismos debe inscribir un fichero en el Registro General de Protección de Datos.

Por el contrario, en el supuesto de Encargo de tratamiento, el Encargado NO




debe notificar la inscripción del fichero ante la Agencia de Protección de

Datos puesto que los datos personales a los que accede no son de su

titularidad, sino de la organización a la que presta un determinado servicio.

Esto significa que cuando se produzca una cesión de datos personales existirán

dos responsables, titulares cada uno de su respectivo fichero.

Por el contrario, en el encargo de tratamiento existirá un único responsable y

un único fichero.

TERCERA: en el supuesto de acceso a datos por un ENCARGADO la relación

que vincula a las dos organizaciones, debe quedar regulada en un contrato

formalizado por escrito.

La LOPD en su artículo 12 establece el contenido mínimo que debe incluir

dicho contrato, cuyos puntos se resumen a continuación:

� El encargado de tratamiento (empresa prestadora del servicio) debe

tratar los datos bajo las instrucciones que estipule el responsable del

fichero (empresa que solicita y contrata el servicio)

� El encargado del tratamiento no podrá utilizar los datos con finalidades

diferentes a aquella que viniese estipulada en el contrato.

� Las medidas de seguridad que debe adoptar el encargado del

tratamiento.

A CONTINUACIÓN SE INSERTA UN EJEMPLO DE CONTRATO DE

TRATAMIENTO DE DATOS PERSONALES:




CONTRATO DE TRATAMIENTO DE DATOS PERSONALES [LUGAR Y FECHA]

REUNIDOS

De una parte, D………………………..con DNI…….…………actuando en representación de la entidad……………………………………. domiciliada en……………………. y provista del CIF………………en adelante denominado Responsable del Tratamiento. De otra parte, D. ………………………. con DNI…………... que actúa en representación de la entidad………………. domiciliada en ………………..y provista del CIF……………en adelante denominado Encargado del Tratamiento. Ambas partes, reconociéndose mutuamente la capacidad legal para el presente acto, de forma voluntaria EXPONEN

I. Que el Responsable del Tratamiento encomienda al Encargado del Tratamiento la prestación del servicio consistente en [SEÑALAR SERVICIO, por ejemplo asesoramiento laboral, mantenimiento informático, etc]

II. Que para la realización de este servicio, es necesario que el Encargado acceda a datos de carácter personal contenidos en los ficheros del Responsable.

III. Que en cumplimiento de lo dispuesto en la Ley Orgánica 15/1999 de Protección de Datos Personales, ACUERDAN formalizar el presente contrato de tratamiento de datos personales y regular el acceso, uso y tratamiento de los citados datos personales conforme a las siguientes

CLÁUSULAS




Primera.- OBJETO El objeto del presente contrato es definir las condiciones conforme a las que El Encargado tratará los datos personales a los que tiene acceso durante la prestación de los servicios contratados. Segunda.- FINALIDAD DEL TRATAMIENTO. El encargado se compromete a tratar los datos personales según las instrucciones facilitadas por el Responsable del Fichero y la normativa legal aplicable vigente en cada momento, limitándose a realizar las actuaciones necesarias para desarrollar correctamente los servicios contratados y comprometiéndose a no aplicarlos o utilizarlos con fin distinto al estipulado en el presente contrato así como a no comunicarlos, ni siquiera para su conservación a otras personas. Tercera.- GARANTÍA Y PROTECCIÓN DE DATOS. En el uso y tratamiento de los datos personales, el Encargado se compromete a garantizar y proteger las libertades públicas y los derechos fundamentales de las personas físicas titulares de los mismos así como su honor e intimidad personal y familiar. Cuarta.- CONFIDENCIALIDAD Y DEBER DE SECRETO. El encargado en ningún caso podrá divulgar a terceros información obtenida como consecuencia de esta relación contractual. Está obligado al secreto profesional respecto a los datos objeto de tratamiento durante y después de finalizar sus relaciones con el Responsable del Fichero. Así mismo, el deber de secreto afecta a todo el personal del Encargado que tenga acceso a los datos de carácter personal. Quinta.- MEDIDAS DE SEGURIDAD. El Encargado se compromete a adoptar las medidas de seguridad aplicables en función de la naturaleza de la información personal tratada, según lo dispuesto en el Título VIII del Real Decreto 1720/2007, de 21 de Diciembre por el que se aprueba el desarrollo reglamentario de la Ley Orgánica de Protección de Datos 15/1999. De esta forma, está obligado a implementar las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos personales incluidos en los ficheros del Responsable a los que tenga acceso, para evitar su pérdida, alteración, tratamiento o acceso no autorizado, según lo establecido en la normativa referenciada.

Sexta.- DESTRUCCIÓN DE LA INFORMACIÓN A la finalización de este contrato, el Encargado del Tratamiento deberá destruir o devolver al Responsable del Fichero, cualquier soporte o documento en que conste algún dato personal objeto del tratamiento, sin conservar copia alguna de los mismos, salvo en aquellos supuestos en que una ley en vigor obligue al Encargado a conservar dichos datos durante un periodo de tiempo




determinado, en cuyo caso se procederá al bloqueo de los mismos durante el periodo impuesto por la legislación. Séptima.- RESPONSABILIDADES El encargado asume la obligación de realizar un uso y tratamiento adecuado de los ficheros propiedad del Responsable, conforme a las instrucciones facilitadas por este. Consecuentemente, el Encargado queda exonerado de cualquier responsabilidad derivada de actuaciones u omisiones imputables al Responsable. De igual forma, en caso de incumplimiento por parte del Encargado de las estipulaciones establecidas en el presente contrato, será considerado Responsable del Tratamiento, debiendo responder de las infracciones en que hubiese incurrido personalmente. Octava.- Ficheros accedidos. Los ficheros de datos personales titularidad del Responsable a los que tendrá acceso el encargado del tratamiento, con indicación de su nivel de seguridad, son [Enumerar los ficheros en cada caso], por ejemplo:

- Fichero Clientes y/o Proveedores. Nivel Básico. - [Otros Ficheros]

Y para que conste y en prueba de conformidad por ambas partes, se firma por duplicado el presente documento en el lugar y fecha indicados en el encabezamiento.

EL RESPONSABLE DEL FICHERO EL ENCARGADO DEL TRATAMIENTO




EL DEBER DE SECRETO

Según lo establecido en la normativa de Protección de Datos de Carácter

Personal, el responsable del fichero y quienes intervengan en cualquier fase

del tratamiento están obligados a mantener el secreto profesional de los datos

personales, incluso una vez haya finalizado su relación con el titular del fichero.

Por lo tanto, además del empresario, los empleados que accedan a datos en

el ejercicio de sus funciones también están obligados a mantener el secreto

profesional de los mismos y a no revelarlos incluso después de finalizada su

relación laboral con la empresa.

En este sentido es muy recomendable incluir en los contratos de trabajo una

CLÁUSULA DE CONFIDENCIALIDAD que establezca las obligaciones de los

trabajadores respecto al tratamiento de los datos.

De igual forma, para que estas obligaciones sean conocidas por los

trabajadores que en el desempeño de su trabajo acceden a datos de

carácter personal, lo más aconsejable es mantener una política permanente

de FORMACIÓN E INFORMACIÓN. De de forma periódica pueden organizarse

cursos o seminarios que proporcionen los conocimientos necesarios para

realizar un uso adecuado de la información y guardar la confidencialidad.

La vulneración del deber de secreto constituye una FALTA LEVE pero si los

datos revelados se refieren a la comisión de infracciones administrativas o

penales, Hacienda Pública o servicios financieros, constituye INFRACCIÓN

GRAVE. Si se revela información sobre datos relativos a ideología, religión,

creencias, origen racial, salud o vida sexual, constituye INFRACCIÓN MUY

GRAVE.

El deber de secreto viene regulado en el artículo 10 de la LOPD.




EJEMPLO DE CLÁUSULA DE CONFIDENCIALIDAD EN EL CONTRATO DE

TRABAJO:

El trabajador contratado tiene la obligación de guardar secreto y mantener absoluta confidencialidad respecto a los datos personales contenidos en los ficheros de esta empresa, obligación que subsistirá incluso después de finalizada la relación laboral con esta entidad. La prohibición establecida en el párrafo anterior se extiende a la reproducción de la información en cualquier soporte, a la que tenga acceso el trabajador sobre clientes de la empresa, colaboradores, contactos, otros trabajadores o cualquier colectivo e independientemente de los procedimientos utilizados, sistemas de organización, programas informáticos y soportes utilizados.

El incumplimiento por parte del trabajador de tales obligaciones supone la transgresión de la buena fé contractual y le hará responsable de los daños y consecuencias que para la empresa pudieran derivarse.

Ahora que ya conocemos los Principios de Protección de Datos, vamos a

detenernos en dos supuestos de tratamiento de datos que por su

peculiaridad merecen un análisis más detallado: el tratamiento de datos

mediante sistemas de VIDEOVIGILANCIA y el tratamiento de datos de

MENORES DE EDAD.




SUPUESTOS ESPECIALES: VIDEOVIGILANCIA

Como ya se ha expuesto al inicio de esta acción formativa, el concepto

de Dato Personal incluye la imagen y la voz cuando se refieren a personas

IDENTIFICADAS O IDENTIFICABLES.

La videovigilancia permite la captación y en su caso la grabación de

dichos datos personales, de manera que deben ser protegidos conforme

lo dispuesto en la LOPD, siempre y cuando su uso afecte a personas

IDENTIFICADAS O IDENTIFICABLES.

En materia de Videovigilancia, la normativa de aplicación es la siguiente:

- Ley Orgánica I5/I999 de Protección de Datos de Carácter Personal.

- Instrucción I/2006 de 8 de noviembre de la Agencia Española de

Protección de Datos, sobre el tratamiento de datos personales con fines de

videovigilancia a través de sistemas de cámaras o videocámaras.

Las obligaciones establecidas en la normativa anterior deben aplicarse al

uso de Cámaras, Videocámaras y cualquier Medio Técnico Análogo que

capte y/o registre imágenes.

Sin embargo existen algunas excepciones en las que no procede aplicar

los principios vigentes de la LOPD:

- Las imágenes grabadas en el ámbito doméstico, personal o

familiar.

- Las imágenes grabadas por los medios de comunicación (edición

de un periódico, emisión de informativos de televisión)




Salvo las excepciones citadas, la captación y/o grabación de la imagen

de una persona supone un tratamiento de datos, de manera que el

Responsable del Fichero deberá cumplir las obligaciones siguientes:

a) CARTEL INFORMATIVO: Debe informarse a los usuarios de la

captación y/o grabación de imágenes mediante la colocación de un

distintivo en los accesos a las zonas vigiladas. En dicho distintivo deberá

incluirse la identificación del Responsable ante el cual se pueden ejercitar

los derechos ARCO.

b) CLAUSULA INFORMATIVA: Debe cumplirse lo dispuesto en el

artículo 5 de la LOPD relativo al deber de información para lo cual la

empresa dispondrá de un impreso con la cláusula informativa

correspondiente a disposición de los usuarios. Al final de este epígrafe se

inserta un ejemplo de cláusula conforme a lo establecido en la Instrucción

I/2006, de 8 de noviembre de la AGPD.

c) INSCRIPCIÓN DEL FICHERO: Si las imágenes únicamente son

captadas y emitidas en tiempo real no se considera que, jurídicamente

exista fichero y por tanto no se notificará a la Agencia Española de

Protección de Datos. En caso contrario, es decir, las imágenes son

grabadas se estará creando un fichero y por lo tanto, este deberá

inscribirse previamente en el Registro de la Agencia.

No obstante, el resto de obligaciones subsisten aún cuando las imágenes

no sean grabadas.

D) CONTRATO DE ENCARGO: En caso de que una tercera empresa,

encargada del mantenimiento del equipo de grabación, pueda acceder

a las imágenes captadas por el sistema, será obligatoria la suscripción por

escrito del Contrato de Encargo regulado en el artículo 12 de la LOPD.




Es importante destacar que está prohibido el uso de sistemas de

videovigilancia en espacios protegidos por la intimidad, tales como cuartos

de baño, vestuarios, etc.

De igual modo, las cámaras instaladas en espacios privados no podrán

grabar imágenes de espacios públicos.

Respecto al uso de Videocámaras con fines de control empresarial, cabe

destacar que en base a lo establecido en el Estatuto de los Trabajadores,

el empresario podrá captar las imágenes de los trabajadores SIN su

consentimiento, como medida de control del cumplimiento por el

trabajador de sus obligaciones, si bien esta práctica estará plenamente

sometida a la LOPD y a la Instrucción I/2006, así como será obligatorio no

utilizar este medio para finalidades distintas al propio control laboral.

Por último, como consecuencia de la entrada en vigor de la Ley 25/2009

de 22 de Diciembre sobre liberalización de actividades de servicios (Ley

Omnibus), se produjeron una serie de modificaciones en materia de

Videovigilancia. Veamos dichas modificaciones:

Hasta la entrada en vigor de la Ley Omnibus, la utilización de dispositivos

de videovigilancia sólo era conforme a la legislación de protección de

datos personales si se había contratado con empresas de seguridad

privada, debidamente autorizadas por el Ministerio del Interior.

La Ley Ómnibus reforma la Ley de Seguridad Privada, liberalizando esta

actividad y determinando que la venta, entrega, instalación o

mantenimiento de estos sistemas podrá llevarse a cabo por particulares y

empresas distintas de las de seguridad privada SIEMPRE QUE LA

INSTALACIÓN NO IMPLIQUE UNA CONEXIÓN CON CENTRALES DE ALARMA.




Se modifica por tanto la exigencia de recurrir a empresas de seguridad

autorizadas por el Ministerio del Interior y de notificar el contrato a dicho

Departamento.

No obstante, la instalación de un sistema de videovigilancia conectado a

una central de alarma, sí seguirá requiriendo la concurrencia de los

requisitos exigidos hasta ahora; esto es, que el dispositivo sea contratado,

instalado y mantenido por una empresa de seguridad privada autorizada

por el Ministerio del Interior y que el contrato sea notificado a dicho

Departamento.

En todo caso, el tratamiento de las imágenes deberá cumplir los restantes

requisitos exigibles en materia de protección de datos de Carácter

Personal, recogidos en la Ley Orgánica y, en particular, en la instrucción

I/2006 de la Agencia Española de Protección de Datos, como son, entre

otros, los relativos a que las imágenes que se capten sean las necesarias y

no excesivas para la finalidad perseguida; el deber de informar a los

interesados, tanto a través de la colocación de carteles informativos como

mediante la puesta a disposición de aquéllos de impresos en que se detalle

la información; la notificación de la existencia de los ficheros a la Agencia

Española de Protección de Datos; o la implantación de medidas de

seguridad.

Por último, se inserta a continuación un modelo de cláusula de información

relativa a los ficheros de datos que provienen de la captación de

imágenes mediante cámaras, videocámaras o cualquier medio técnico

similar con fines de videovigilancia:




MODELO CLAUSULA INFORMATIVA

Art. 3, apartado B. Instrucción 1/2006, de 8 de noviembre, de la

Agencia Española de Protección de Datos, sobre el tratamiento

MODELO CLAUSULA INFORMATIVA

Art. 3, apartado B. Instrucción 1/2006, de 8 de noviembre, de

la Agencia Española de Protección de Datos, sobre el

tratamiento de datos personales con fines de vigilancia a

través de sistemas de cámaras o videocámaras.

FICHERO PRIVADO

De conformidad con lo dispuesto en el Art. 5.1 LO 15/1999, de

13 de diciembre, de Protección de Datos, se informa:

1. Que sus datos personales se incorporarán al fichero

denominado “VIDEOVIGILANCIA “ y serán tratados con la

finalidad de seguridad a través de un sistema de

videovigilancia.

2. Que el destinatario de sus datos personales es:

a. La empresa de seguridad

b. El dueño del establecimiento

3. Que puede ejercitar sus derechos de acceso, rectificación,

cancelación y oposición ante el responsable del fichero.

4. Que el responsable del fichero es “ [señalar nombre o Razón

Social] ubicado en [señalar dirección completa]




SUPUESTOS ESPECIALES: TRATAMIENTO DE DATOS DE MENORES DE EDAD

Como punto de partida, debemos saber que según la normativa de

Protección de Datos Personales, se considera menor a aquel que no ha

cumplido los CATORCE AÑOS de edad.

El artículo I3 del RDLOPD establece los requerimientos exigidos en el

tratamiento de datos personales de quienes no hayan cumplido dicha

edad.

Esta delimitación se fundamenta en que nuestro ordenamiento jurídico,

reconoce a los mayores de catorce años la suficiente capacidad de

discernimiento para adoptar por si solos determinados actos de la vida

civil y por ello se considera que disponen también de la suficiente

madurez para consentir, por si mismos, el tratamiento de sus datos

personales.

Así, la persona física que tenga menos de I4 años es considerado menor

a efectos de tratamiento de datos personales y todos aquellos que

superen dicha edad son considerados aptos para poder prestar

consentimiento a la hora de facilitar sus datos de carácter personal.

De conformidad con el artículo I3 del Real Decreto I720/2007, aquellos

que deseen recabar información personal de un menor de catorce

años, precisan el consentimiento de sus padres o tutores legales.

En cuanto a los mayores de catorce años, podrá procederse al

tratamiento de los datos con su consentimiento, salvo en aquellos casos




en los que la Ley exija para su prestación la asistencia de los titulares de

la patria potestad o tutela.

Además la legislación establece que el Responsable del Fichero

articulará los procedimientos que garanticen que se ha comprobado

de forma efectiva la edad del menor y la autenticidad del

consentimiento prestado por los padres, tutores o representantes

legales. A efectos prácticos esto puede implicar el desarrollo de

actuaciones desproporcionadas por parte del Responsable del Fichero,

sobre todo en los casos en que los datos se recogen por medios

telemáticos, dado que la autenticidad por dicha vía, sólo puede

comprobarse a través de certificado digital o DNI electrónico.

Con respecto a otras obligaciones relativas al tratamiento de datos

personales de menores, cabe destacar:

- En ningún caso podrán recabarse del menor, datos que

permitan obtener información sobre los demás miembros de la unidad

familiar, como los datos relativos a la actividad profesional de los

progenitores, ingresos económicos, o datos sociológicos. No obstante,

podrán recabarse los datos de contacto de los padres o tutores para

obtener de ellos la autorización para el tratamiento de los datos del

menor.

- La información dirigida a los mismos deberá expresarse en un

lenguaje que sea fácilmente comprensible por aquéllos, utilizando para

ello un vocabulario sencillo y claro.

modulo 4 pdp

Education