ADMINISTRATIVO

En diciembre de 1999 se aprueba la Ley Orgánica 15/1999 de Protección de datos de Carácter personal, (LOPD) siguiendo la línea marcada por la Directiva 95/46/CE.

Abogados especialistas en adaptación a la Ley de Protección de Datos Personales

Para velar por el cumplimiento de la citada Ley Orgánica (LOPD) y controlar su aplicación se creó la Agencia de Protección de Datos. La citada Agencia es un ente de derecho público, con personalidad jurídica propia y plena capacidad pública y privada y que actúa con plena independencia de las Administraciones Públicas. Entre sus funciones más destacadas, además de atender las peticiones y reclamaciones de las personas físicas afectadas, se encuentran las de mantener el registro general, donde se han de inscribir los ficheros de titularidad pública y privada con datos de carácter persona y, si fuera necesario, ejercer la potestad sancionadora sobre los responsables y encargados del tratamiento, en los términos previstos por la ley.

Por otra parte, desde el 26 de junio de 1999 está en vigor el Reglamento de Seguridad (RD 994/99 de 11 de junio) que desarrolla la mencionada ley orgánica y que establece la obligación de las empresas de poner en marcha diversas medidas destinadas a garantizar la protección de dichos datos, afectando a sistemas informáticos, archivos de soportes de almacenamiento, personal, procedimientos operativos, etc.

LA CESIÓN DE DATOS COMO INFRACCIÓN ADMINISTRATIVA Y COMO DELITO

La comunicación o cesión de datos de carácter personal fuera de aquellos casos en que esté legalmente autorizada, integra una de las infracciones muy graves contempladas en el art. 44.4.b). Como es sabido, el art. 11 de la LOPD establece el régimen jurídico del que se deriva la licitud o ilicitud del acto de comunicación. Como regla general, los datos de carácter personal sólo podrán ser comunicados a un tercero para el cumplimiento de los fines directamente relacionados con las funciones legítimas del cedente y del cesionario y con el consentimiento del interesado. El mismo precepto fija las excepciones a ese principio del consentimiento (cesión autorizada por ley, datos recogidos de fuentes accesibles al público, tratamiento derivado de una relación jurídica libremente aceptada, comunicación a autoridades e instituciones en los casos admitidos o datos de salud necesarios para solucionar una urgencia).

LA VULNERACIÓN DEL DEBER DE SECRETO EN EL TRATAMIENTO DE DATOS

La gravedad de la infracción administrativa del deber de secreto impuesto por el art. 10 de la LOPD se gradúa en función de la naturaleza de los datos afectados por esa vulneración. Como se desprende del art. 44, en sus apartados 3.g) y 4.g), la infracción de ese deber de discreción puede ser catalogada como infracción muy grave –si se refiere a datos ultrasensibles o que hayan sido recabados para fines policiales sin consentimiento de las personas afectadas- o grave -cuando aludan a datos referentes a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros, prestación de servicios de solvencia patrimonial y crédito, así como aquellos otros que permitan evaluar la personalidad del individuo-.

Entre las infracciones de carácter muy grave que sistematiza el art. 44.4, su apartado d) incluye el “…no cesar en el uso ilegítimo de los tratamientos de datos de carácter personal cuando sea requerido para ello por el Director de la Agencia de Protección de Datos”. Ese requerimiento es acorde con la función que el art. 37 de la LOPD menciona en el art. 37.f). Se trata, en fin, de exigir de los responsables y encargados de los tratamientos la adopción de las medidas necesarias para la adecuación de ese tratamiento a las exigencias impuestas por la ley, pudiendo ordenar, en su caso, la cesación y hasta la cancelación de los ficheros que no se ajusten a sus disposiciones. La LOPD asocia a la conducta de inobservancia de tales requerimientos el efecto sancionador en forma de infracción muy grave.

Algo similar acontece con la LSSI, cuyo art. 38.2 a) cataloga como infracción muy grave el incumplimiento de las órdenes dictadas por el órgano administrativo competente encaminadas a la interrupción de la prestación de un servicio o a la retirada de datos en que se atente contra algunos de los principios que el propio art. 8 menciona.

El problema podría surgir en aquellas ocasiones en que por los mismos hechos se incoara un proceso penal –perfectamente posible si el Director de la Agencia de Protección de Datos o la autoridad administrativa competente, según los casos, dedujera el tanto de culpa al Ministerio Fiscal-, para indagar la posible existencia de un delito de desobediencia tal y como lo describe el art. 556 del CP.

LA NORMATIVA DE PROTECCIÓN DE DATOS:

a) Inscripción de los ficheros.

b) Redacción del documento de seguridad.

c) Auditorias

a) Básico: Nombre, apellidos, dirección de contacto (tanto física como electrónica), teléfono (tanto fijo como móvil), otros.

b) Medio: Además de los anteriores, que contengan datos relativos a comisión de infracciones penales, comisiones infracciones administrativas, contra la Hacienda Pública e informaciones financieras.

c) Alto: Además de los anteriores, que contengan datos de ideología, afiliación sindical, religión, creencias, origen racial, salud, vida.

Dependiendo del nivel de seguridad las empresas deberán disponer y haber tomado unas medidas u otras de seguridad de los soportes en los que contengan los datos indicados, para no incurrir en las infracciones que seguidamente se mencionan.

La protección de datos de carácter personal por las Entidades Financieras

 En general, la normativa que rige la actividad de las entidades financieras, básicamente las circulares del Banco de España y los Estatutos, siempre ha sido muy estricta en cuanto a la manera en que se deben tratar los datos de sus clientes. Estas mismas empresas se cuidan mucho de transmitir una imagen de seguridad y confidencialidad que les ayude para ganar confianza de sus impositores y clientes, máxime teniendo en cuenta la puesta en marcha por casi la totalidad de ellas de la Banca virtual.

Aspecto formal de los contratos de las entidades financieras en relación con la protección de datos

 Se pueden distinguir dos tipos de contratos, afectados por distintos principios de la LOPD. Por un lado, los contratos que las entidades establecen con sus clientes deben garantizar el tratamiento lícito y leal, contemplando el derecho de información en la recogida de los datos y el consentimiento del afectado. Por otro, los contratos que se firman con terceros, ya sea por la prestación de algún servicio o por cualquier otro tipo de relación, deben cumplir con los principios de comunicación de datos o con el de acceso a los datos por cuenta de terceros. En la práctica, significa que, cualquier documento en el que la entidad sea una de las partes, deberá tener ineludiblemente el clausulado correspondiente. 

Podemos definir transferencia internacional de datos como aquel transporte de datos entre sistemas informáticos por cualquier medio de transmisión, así como el transporte de soportes de datos por correo o cualquier otro medio convencional.

En virtud de la competencia que la L.O 15/99 le otorga a la Agencia de Protección de Datos (en adelante APD), ésta ha elaborado la Instrucción 1/2000 por la que se rigen los movimientos internacionales de datos.

Existen dos Órdenes, una de 2 de Febrero de 1995 y otra de 31 de Julio de 1998 del Ministerio del Interior, que establecen la relación de países que disponen de un nivel de seguridad equiparable al de España en lo que atañe al tratamiento de estos datos (norma IV, sección II de la Instrucción 1/2000).

La transferencia a países que no tengan este nivel de protección requiere autorización del Director de la APD, previa aportación del contrato escrito celebrado entre el transmitente y el destinatario.

Si el destinatario incumple el contrato, afectando con ello a los titulares de los datos personales, será responsable solidario junto con el transmitente, pudiendo ser sancionados severamente, con multa de hasta 100 millones de pesetas.

Aquellas empresas que publiquen datos de carácter personal en la Red, tendrán que cumplir también con los requisitos establecidos en la Instrucción 1/2000. Sin embargo, es de difícil cumplimiento puesto que, a tenor del texto, estas empresas deberán adjuntar a la solicitud de transferencia de datos a través de Internet presentada a la APD, todos los contratos celebrados con todas las empresas que acceden a la Red, y esto, claro está, es imposible.

PROTECCIÓN DE  DATOS MÉDICOS No existe una definición de datos de salud en la Ley Orgánica 15/1999, de 13 de Diciembre, de Protección de Datos de Carácter Personal (en adelante LOPD), ni en el Real Decreto 1332/1994, de 20 de Junio por el que se desarrollan determinados aspectos de la LORTAD. Sin embargo, la Recomendación nº (97)5 de 13 de Febrero de 1997, del Comité de Ministros del Consejo de Europa a los Estados miembros sobre Protección de Datos Médicos, da una definición general de "dato médico" definiéndolo como todo dato personal relativo a la salud de un individuo, incluyendo aquellos que tienen una clara y estrecha relación con la salud y los datos genéticos. La ley aplicable a los datos médicos es la LOPD, sin embargo existe una normativa sectorial a la que mas adelante haremos referencia. Los datos relativos a la salud tienen la consideración de datos especialmente protegidos, y la razón de ello reside en que forman parte de la intimidad y privacidad del individuo, derecho reconocido y protegido por nuestra constitución. (artículo 18.1 y 4 C.E) El párrafo 3 del artículo 7 de la LOPD establece que los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual solo podrán ser recabados, tratados y cedidos cuando por razones de interés general, así lo disponga una ley o el afectado consienta expresamente. El artículo 8 dela LOPD, establece específicamente para los datos relativos a la salud lo siguiente: Sin perjuicio de lo que se dispone en el artículo 11 respecto de la cesión, las instituciones y los centros sanitarios públicos y privados y los profesionales correspondientes podrán proceder al tratamiento de los datos de carácter personal relativos a la salud de las personas que a ellos acudan o hayan de ser tratados en los mismos, de acuerdo con lo dispuesto en la legislación estatal o autonómica sobre sanidad. De manera que serán los profesionales sanitarios o los individuos u órganos que trabajen en representación de los mismos los únicos legitimados para recoger y procesar datos médicos. Cuando un paciente da sus datos a un profesional sanitario para que éste forme su ficha médica o en caso de ingreso hospitalario, puede exigir al médico que le informe sobre que va a pasar con esos datos. El paciente debe ser informado de modo expreso, preciso e inequívoco que sus datos van a ser recogidos en un fichero, de la finalidad de la recogida y de los destinatarios de los mismos. Así mismo, el paciente puede ejercitar los derechos de acceso, rectificación, cancelación y oposición, y para ello deberá ser informado de la identidad del responsable del tratamiento y de la dirección del mismo. El tratamiento de estos datos es totalmente reglamentario siempre que se realice con fines asistenciales y con el expreso consentimiento del afectado o autorización legal basada en razones de interés general. Respecto al Insalud existe una Circular 9/97 de 9 de Julio: Instrucciones del Insalud sobre seguridad y protección de datos, que establece la obligación de informar sobre la existencia de un fichero, la finalidad de la recogida, del carácter obligatorio o facultativo de la recogida de datos y de la existencia de cesión o transferencia internacional de datos. PROYECTO TAIR (Terminal Autónomo de Identificación de Registros) El TAIR es un terminal de registro y almacenamiento de datos que utiliza cada médico en su consulta. El médico pasa la tarjeta sanitaria del paciente por el lector y éste crea una etiqueta que se pega a la receta que el médico prescribe. En esta etiqueta aparece el CIP (Código de Identificación del Paciente) y el CIAS (Código de Identificación del Área Sanitaria), datos de carácter administrativo, necesarios para la gestión del paciente por el Insalud y para determinar los perfiles de consumo de los usuarios. De esta manera se posibilita el establecimiento de medidas de racionalización del gasto y un mejor control y lucha contra el fraude en la presentación farmacéutica. Los datos del paciente quedan siempre bajo el control del Insalud, pudiendo acceder a ellos también, de forma restringida, las Farmacias y los Colegios Farmacéuticos. La receta pasa a la farmacia, y el licenciado/a pasa el código de barras de la etiqueta por el lector y expide el medicamento, sin conocer datos personales sobre el sujeto, mas que el CIP. En este caso no se produce un cesión de datos puesto que las farmacias no se consideran terceros. Las farmacias envían las recetas al Colegio Oficial de Farmacéuticos, los cuales envían los datos a terceras empresas que prestan el servicio de recogida y grabación de estos datos, creando un gran fichero. Este proceso está regulado por un Convenio de 17 de Noviembre de 1998, suscrito por el Presidente Ejecutivo del Insalud y la Dirección General de Colegios Oficiales de Médicos y Farmacéuticos. Cualquier uso distinto que el Colegio quisiera dar a estos datos necesitaría autorización del Insalud, ya que éste es el responsable del fichero Para la existencia de este fichero de titularidad pública era necesario que una norma autorizase su creación, por ello se dictó la Orden Ministerial del Consejo General de Consumo de 21 de Julio de 1994. En un principio se arrojaron dudas acerca de la fiabilidad de este sistema, sin embargo, el Director de la Agencia de Protección de Datos (APD) entendió que este procedimiento era conforme a la LOPD, ya que se respetaba la intimidad del usuario y la confidencialidad de sus datos médicos. FICHEROS CON DATOS SOBRE VIH En la actualidad existe un fichero nacional, dependiente del Ministerio de Sanidad (Plan Nacional de Sida) en el que se registran los datos de los pacientes enfermos de SIDA (Síndrome de Inmunodeficiencia Adquirida). Se trata de una enfermedad de declaración obligada (EDO), por lo que los médicos han de informar de que tienen un paciente enfermo de SIDA, esta información pasa a las delegaciones provinciales, que la envían a las autoridades autonómicas, que a su vez envían las actualizaciones del fichero al Ministerio de Sanidad. Los médicos han de informar al paciente de la existencia de este fichero, que contiene su nombre y apellidos, dirección, fecha de nacimiento y fecha de defunción. La finalidad de la existencia de este fichero es el interés general, para seguir un control de la enfermedad. FICHEROS DE DONACIONES Existe un fichero de donaciones, en el cual se recogen el nombre, apellidos, dirección y resultado de la analítica del donante. La finalidad de su registro es la de seguir los resultados y poder notificar al paciente la próxima cita. El Real Decreto 1854/1993, de 22 de Octubre, por el que se determina con carácter general los requisitos técnicos y condiciones mínimas de la hemodonación y bancos de sangre, regula en su artículo 29 el registro de estos datos. Los datos se guardarán por un plazo de tiempo no superior a 5 años, sin embargo, si se cree que existe posibilidad de transmisión de enfermedades infecciosas se guardarán indefinidamente. PROTECCIÓN DE DATOS EN EL ÁMBITO LABORAL Es habitual que las empresas realicen reconocimientos médicos a sus empleados, siempre con el consentimiento de estos últimos, ya que no están obligados a someterse a ellos. El empresario sí que está obligado a ofrecer a sus empelados este reconocimiento médico, en el cual, se recogerán una serie de datos identificativos del paciente y se presentará un diagnóstico en el que se determine si el empleado es apto o no apto para realizar su trabajo, sin revelar la enfermedad o dolencia que lo incapacita para ello. Por lo tanto, el empresario puede crear un fichero que recoja la capacidad o incapacidad de los trabajadores, sin detallar ningún dato más. Con el fin de comprobar el estado de su plantilla. Sin embargo, si el trabajador tiene alguna minusvalía sí sería posible crear este fichero, en el que se detallara el tipo de minusvalía, el porcentaje de la misma, etc, ya que existen bonificaciones a aquellos empresarios que contratan a personas con algún tipo de minusvalía, física o mental, por lo que la APD considera posible y conforme a la ley su existencia. Una sentencia del Tribunal Constitucional ordenó a la entidad bancaria BCH a destruir un fichero con datos de salud de sus trabajadores contenido en su base de datos laborales, por entender que violaba el derecho a la intimidad reconocido por los artículos 18.1 y 18.4 de la Constitución. Este fichero se utilizaba para controlar el absentismo de los empleados, y recogía gran cantidad de datos, excesivos en opinión del Tribunal Constitucional, ya que albergaba incluso datos médicos de trabajadores ya jubilados. Por otra parte, no se guardaba la debida confidencialidad sobre los mismos, ni se adoptaron las medidas de seguridad necesarias para asegurarla. Noelia García Noguera. Abogada especialista en Nuevas Tecnologías. La APD tramita ya expedientes sancionadores contra compañías españolas por 'spam' Publicada el: 2/12/2004 La Agencia Española de Protección de Datos (APD) tramita en la actualidad expedientes sancionadores contra compañías españolas que envían correos electrónicos comerciales no solicitados, popularmente conocidos como 'spam', aunque todavía no se ha producido en nuestro país ninguna multa por esta infracción. El presidente de la APD, José Luis Piñar, explicó, tras comparecer ante la Comisión Constitucional del Congreso de los Diputados, que "ya hay iniciados algunos expedientes" sancionadores contra emisores de 'spam', aunque apuntó que "todavía están en trámite de instrucción", puesto que la agencia asumió estas competencias "hace poco" (2003). Piñar se refirió a las dificultades de perseguir esta práctica debido al carácter "transfronterizo" de Internet. No obstante, incidió en la importancia de seguir trabajando y "fijando líneas de colaboración" con autoridades nacionales de todo el mundo, potenciando el intercambio de información, a pesar de que "a veces es imposible". Reunión internacional En ese sentido, se refirió a la importancia de la reunión celebrada el pasado 11 de octubre en Londres, bajo los auspicios de la OCDE, donde participaron responsables de la aplicación y ejecución de las normas 'anti-spam' de 15 diferentes países de los cinco continentes, y sectores industriales implicados. Fruto de esta reunión fue la adopción de un acuerdo por el que 19 autoridades inician un Plan de Acción conjunto (London Action Plan on Spam), consistente en actuaciones muy directas (designación de puntos de contacto, comunicaciones periódicas entre países, intercambio de experiencias y problemas, etc.) que permitan establecer cauces fluidos de comunicación y cooperar mutuamente en la lucha contra este problema. Piñar también explicó que empresas e instituciones españoles han asumido ya la importancia de la protección de datos y asumió el compromiso de "desplegar una cultura de protección de datos para que los ciudadanos conozcan sus derechos". Además, repasó las principales infracciones a las que tiene que hacer frente la APD, inscrito dentro de las carencias que denunció, tanto de personal como de financiación, puesto que sus recursos proceden de sus sanciones. Medios escasos En cuanto a su plantilla, la APD negocia en la actualidad "otro incremento" de personal. La agencia cuenta en la actualidad con doce inspectores, que trabajan en equipos de dos por todo el territorio nacional. "Son unos medios escasísimos para todas las denuncias que reciben. Una persona tiene setenta expedientes al mismo tiempo, algunos de una gran complejidad técnica", denunció Piñar ante los diputados de la comisión. Por otro lado, en el último año se han incrementado un treinta por ciento el número de expedientes abiertos por Protección de Datos y, en lo que va de 2004, la cifra alcanza los 900. Además, más del noventa por ciento de los procedimientos de infracción que se inician son denuncias de ciudadanos. Piñar destacó las reclamaciones presentadas contra responsables de ficheros de entidades financieras (morosidad), publicidad ('spam') y telecomunicaciones (preasignación con otros operadores), así como sobre el tratamiento de datos de salud, que están especialmente protegidos en la ley. Deficiencias en seguridad Sobre estos últimos, apuntó que "falta bastante por hacer para mejorar la custodia de las historias clínicas", aunque admitió que "no es fácil de resolver, pero se tiene que solucionar". Asimismo, desveló "importantes deficiencias" en instituciones hospitalarias, que tienen una "deficiente implantación de medidas de seguridad".

NOTA: Se autoriza la reproducción de esta página total o parcial, con tal que figure un enlace a www.tuabogadodefensor.com