El artículo 15 del RDLOPD establece que si el responsable del tratamiento solicitase el consentimiento del afectado durante el proceso de formación de un contrato para finalidades que no guarden relación directa con el mantenimiento, desarrollo o control de la relación contractual, deberá permitir al afectado que manifieste expresamente su negativa al tratamiento o comunicación de datos.
En particular, nos dice el precepto, se entenderá cumplido tal deber cuando se permita al afectado la marcación de una casilla claramente visible y que no se encuentre ya marcada en el documento que se le entregue para la celebración del contrato o se establezca un procedimiento equivalente que le permita manifestar su negativa al tratamiento.
Olvídese el lector por ahora de lo de “procedimiento equivalente”, que espero sea objeto de un post posterior (estamos en ello), y céntrese en el sistema que el legislador bendice: la existencia de una casilla, claramente visible y no pre marcada, en el documento en el que se plasmará el contrato.
El asunto que quiero tratar aquí es cómo redactar la leyenda que debe acompañar a la casilla en cuestión: ¿debe redactarse en sentido positivo (Sí quiero), o puedo hacerlo en sentido negativo (No quiero)? La cuestión no es ninguna tontería, por cuanto en el caso de que la redacción sea en sentido positivo solamente podré utilizar los datos de los interesados que hayan expresamente marcado la casilla autorizando ese uso. Por el contrario, si la redacción lo es en sentido negativo podré utilizar los datos de todos aquellos interesados que no hayan manifestado su negativa de forma expresa marcando la casilla. (más…)
Pepito es alumno del Colegio Patatín desde el parvulario. Ahora cursa segundo de bachillerato. Sus orgullosos padres, don José y doña Concha, siempre han estado pendientes de la educación de su vástago, acudiendo a toda reunión organizada por el centro, supervisando que hiciera los deberes y ayudándole cuando sus conocimientos se lo permitían, estando informados en todo momento de sus progresos y notas…
Pepito ha sido siempre un alumno ejemplar…hasta este último curso, donde se ha visto alcanzado de lleno por el mal de amores. ¿Consecuencia? El pollo lleva cinco suspensos en la primera evaluación. Aterrorizado, Pepito piensa en cómo evitar que sus padres se enteren de las notas hasta que logre recuperar los suspensos. Ya les contará alguna milonga, pero ahora lo importante es que el colegio no se chive y no de traslado de las calificaciones a sus padres.
Vale, sí, pero ¿cómo lograrlo? Pepito, piensa que te piensa, de repente se acuerda del derecho fundamental a la protección de datos de carácter personal y eso de la autotutela informativa y razona de la siguiente forma: “Ya tengo 18 años, soy mayor de edad, con plena capacidad de obrar, no sujeto a patria potestad y, por lo tanto, solo yo decido quien accede a mis notas”.
Así que Pepito se dirige por escrito a la secretaría de su colegio y deja dicho de forma tajante y contundente que en el centro solamente puede facilitarle a él sus calificaciones y que nada de ponerlas en conocimiento de sus padres, que si no presenta una denuncia ante la AEPD.
En este contexto ¿creéis que el derecho de acceso debe incluir el listado de personas que han accedido a la hª clínica y la finalidad de dicho acceso (acceso completo al registro de accesos)? ¿No os parece fundamental para el control de la persona de su información personal?
Vamos a dar respuesta a esta cuestión a través de los informes jurídicos y resoluciones de la Agencia Española de Protección de Datos y de las sentencias de la Audiencia Nacional dictadas al respecto.
El derecho de acceso la historia clínica se recoge en el artículo 18 de Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.
Dicho precepto tiene el siguiente contenido: (más…)
Uno de los pilares básicos en la implementación y aplicación de la normativa eleopediana en cualquier organización es la necesidad de concienciar al personal de que solamente tienen que acceder a aquellos medios e información necesarios para el desarrollo de sus funciones.
Dado que en muchos entornos es imposible parametrizar al cien por cien el acceso a la información, para cumplir esa máxima cobra esencial importancia la acción humana: es necesaria la colaboración de todas las personas de la organización y apelar al sentido de la responsabilidad de cada uno para el éxito de esta política y de otras muchas en materia de protección de datos.
Lo que pasa es que —entre que la carne es débil y que el fisgoneo y chafardeo es deporte nacional (de hecho, la única disciplina en la que todo español de pro aspiraría seriamente a ser olímpicos si se incluyera en el programa de los juegos)— no son pocos los casos en los que no podemos resistirnos a mirar lo que no debemos… y eso acarrea sus consecuencias, que van más allá de las tipificadas en la LOPD y que pueden ser mucho más graves.
Así, por ejemplo, en el año 2009 la Secretaría General de la Administración de Justicia, ante lo descarado del asunto o bien para frenar un posible despiporre, tuvo que emitir una circular advirtiendo de las consecuencias disciplinarias de los accesos no justificados por parte de los funcionarios de Justicia a la información obrante en el Punto Neutro Judicial. Pueden descargarse la circular desde este enlace, pero no me resisto a la trascripción parcial de la siguiente frase, suficientemente ilustrativa: (más…)
Ya saben ustedes que las sentencias del Tribunal Constitucional se publican en el BOE de forma íntegra, sin eliminar los datos de carácter personal de los litigantes, cosa que no ocurre con el resto de sentencias dictadas por los órganos judiciales.
La licitud de esa no anonimización fue corroborada en el informe jurídico 451/2006 de la Agencia Española de Protección de Datos, que básicamente se limita a reproducir los Fundamentos Jurídicos quinto, sexto y séptimo de la Sentencia 114/2006, de 5 de abril, del propio Tribunal Constitucional.
De hecho, la única aportación de la AEPD en dicho informe es el encabezamiento y la conclusión final, siendo el resto del mismo la reproducción literal de los Fundamentos Jurídicos citados: (más…)
Hoy 21 de julio de 2015 se ha publicado en el BOE la Ley 22/2015, de 20 de julio, de Auditoría de Cuentas, que deroga el Texto Refundido aprobado por el Real Decreto legislativo 1/2011.
La realización por parte del auditor de una auditoría de cuentas es una prestación de servicios calificable como de tratamiento o acceso a datos por cuenta de tercero, regulada en el artículo 12 de la Ley 15/1999, de 13 de diciembre, de protección de datos de carácter personal.
El citado artículo 12 y los concordantes de su RDLOPD exigen que esa relación se recoja en un contrato deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, viniendo éste determinado por lo previsto en esos preceptos citados.
No es objeto de este post explicar cómo debe redactarse ese contrato, sino simplemente hacer mención de los artículos de la nueva Ley de Auditoría que entiendo deben ser tenidos en cuenta a la hora de regular esa relación desde el punto de vista de la protección de datos de carácter personal, buscando, como siempre y utilizando un símil propio del mundo de la costura, el traje a medida para nuestro cliente, ese toque de calidad que nos diferencie del prêt-à- porter.
En el mes de abril del año en curso tuvo entrada en el Congreso de los Diputados el Proyecto de Ley de modificación parcial de la Ley 58/2003, de 17 de diciembre, General Tributaria, cuya medida estrella, como saben, es la publicación de listados de los mayores morosos tributarios, sean personas jurídicas o físicas, lo que se regula en un nuevo artículo, el 95 bis.
La inclusión en esos listados de datos relativos a personas físicas es, desde el punto de vista de la protección de datos de carácter personal, una cesión de datos, definida en el artículo 3 de la LOPD como toda revelación de datos realizada a una persona distinta del interesado.
Habiendo datos de carácter personales por en medio, de conformidad con lo dispuesto en el artículo 37.h) LOPD (Informar, con carácter preceptivo, los proyectos de disposiciones generales que desarrollen esta Ley) y 5.b) del Estatuto de la AEPD (Informará preceptivamente cualesquiera proyectos de ley o reglamento que incidan en la materia propia de la Ley Orgánica) el anteproyecto de dicha norma debía ser objeto de informe preceptivo por parte de la Agencia Española de Protección de Datos.
Dado que la información que se ofrece en el Congreso de los Diputados se limita únicamente al texto puro y duro del Proyecto de Ley, me dirigí al portal web de transparencia del Gobierno de España, ya que, a mi entender, de acuerdo con lo dispuesto en el artículo 7 de la Ley 19/2013, de 9 de diciembre, de Transparencia, Acceso a la Información Pública y Buen Gobierno, junto con el texto del proyecto debería ponerse a disposición de los ciudadanos el contenido de los informes y dictámenes emitidos durante el proceso de elaboración. (más…)
No os cuento nada nuevo si digo que el artículo 4 de la LOPD regula el principio de calidad en el tratamiento de los datos de carácter personal. En concreto, su apartado 5º nos dice que Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.
Sin embargo, la realidad con la que el profesional se topa a diario es que las organizaciones lo guardan todo ad eternum, y ello, principalmente, por tres motivos: -a) Porque basta que te deshagas de algo para que te lo pidan (“oye, te acuerdas de aquel asunto…”, “no tendrás guardado…”); -b) Porque guardar y no tirar evita pensar; y –c) Porque en muchas ocasiones se desconocen los plazos de conservación que debemos aplicar.
Esos plazos no son simplemente los de prescripción de las infracciones recogidas en la LOPD (artículo 47), sino que en función de la actividad o actividades desarrolladas por la organización deberemos observar diferentes plazos de conservación. Algunos pueden ser aplicados a cualquier actividad, como pueden ser los referidos a la documentación generada en las relaciones laborales, pero en muchos supuestos deberemos aplicar plazos específicos para una concreta actividad. Y es ahí donde el tema se complica, porque actividades hay todas las que usted pueda imaginar, y regulación tenemos nacional y autonómica, así que…
Este post tiene por objeto ofrecer a los profesionales de la protección de datos -y a todas aquellas personas que en sus organizaciones lidian con este tema- un cuadro de plazos de conservación de documentación por actividades, a disposición de todo aquel que lo necesite. Pero para que el cuadro sea realmente útil y lo más completo posible necesita de la colaboración de todos los lectores: os pedimos que todo aquel que haya trabajado con un sector de actividad que contemple unos plazos específicos de conservación de información los ponga en común, en beneficio de todos, incorporándolos al cuadro. (más…)
Ya saben ustedes que sobre el papel (a la hora de contar plazos en este país, tanto los gobiernos de derechas como los de izquierdas han demostrado que no saben sumar, y no les digo si previamente con los nuevos se debe primero hacer una asamblea para decidir cómo se suman), de acuerdo con la Disposición Adicional Segunda de la Ley 18/2011, de 5 de julio, reguladora del uso de las tecnologías de la información y la comunicación en la Administración de Justicia, en julio de 2016 la tramitación de los expedientes judiciales debería ser electrónica.
Para ir viendo cómo funciona el tema, ya hace unos meses les conté en este mismo blog que Baleares iba a ser conejillo…perdón, prueba piloto de, al menos, la presentación obligatoria de todo escrito por los profesionales del derecho vía Lexnet.
El experimento está dando bastantes problemas con la presentación de escritos vía procurador, pero, por el contrario, ninguno con la presentación directa por parte de letrados en los casos en los que la Ley lo permite. Muy posiblemente, esa ausencia de incidencias tiene que ver con que, a pesar de que antes de final de 2014 el tema tenía que estar funcionando, a fecha de hoy, dado que los medios tecnológicos dispuestos por el Ministerio de Justicia son una birria, dicho canal sigue sin estar habilitado. Es decir, no funciona, no pita, no currula.
Jorge Salgueiro (abogado, presidente de AECRA y Vocal Experto Privado en la Comisión Nacional de Seguridad Privada), es, sin duda alguna, una de las autoridades nacionales en materia de Seguridad Privada y Seguridad Privada y, lo que es más importante, asiduo colaborador de este blog.
Hoy nos ha hecho llegar sus reflexiones sobre la regulación del fenómeno de la videovigilancia en la Ley de Seguridad Privada y en la Ley de Protección de Seguridad Ciudadana, que compartimos con todos vosotros.
Jorge, tienes la palabra…
La Ley 5/2014 de 4 de abril de Seguridad reconoce la importancia de la seguridad privada en su labor complementaria de la seguridad pública y su participación en el mantenimiento de la seguridad ciudadana, a través de su Preámbulo cuando afirma:
“La seguridad, entendida como pilar básico de la convivencia ejercida en régimen de monopolio por el poder público del Estado, tanto en su vertiente preventiva como investigadora, encuentra en la realización de actividades de seguridad por otras instancias sociales o agentes privados una oportunidad para verse reforzada, y una forma de articular el reconocimiento de la facultad que tienen los ciudadanos de crear o utilizar los servicios privados de seguridad con las razones profundas sobre las que se asienta el servicio público de la seguridad”.
