Protección de datos personales

proteccion de datos personales

 

La protección de los datos personales, es cada día más importante, por ello el conocimiento de la Ley de Protección de Datos (LOPD), cada vez más requiere de Abogados especialistas en protección de datos personales.

La modificación introducida por el Reglamento Europeo (UE) 2016/679, deroga la Directiva 95/46/CE y que entrará en vigor el 25-5-2018 y la consiguiente realización de auditoria de Lopd, será fundamental en el desarrollo de la protección de datos personales.

Protección de Datos Personales

Se definen los “datos personales”: toda información sobre una persona física identificada o identificable («el interesado»).

Se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.

La protección de datos personales nació en España, con el desarrollo de las nuevas tecnologías en concreto con la aprobación de la LORTAD en el año 1992, con la finalidad de salvaguardar el derecho a la intimidad  y privacidad  de los datos personales de los ciudadanos españoles, por ello cada vez se ha hecho más necesario contar con un Abogado especialista en Protección de Datos Personales.

La Ley Orgánica de Protección de Datos (LOPD)

GUIA-PROTECCION-DATOS
Guía de la Agencia Española de Protección de Datos

La Ley Orgánica de Protección de Datos Personales, es la base jurídica en la que el legislador trata de proteger al ciudadano particular, en cuanto al uso de sus datos personales de forma no autorizada por las entidades privadas y por las entidades públicas, autónomos o instituciones.

El derecho a no ser incluido en cualquier registro público o privado, vulnerando nuestros derechos a la protección de nuestros datos personales se encuentra, en la actualidad, regulado por la Ley de Protección de Datos Personales (LOPD) Ley Orgánica 15/1999 de 13 de diciembre, y su Reglamento de desarrollo que es el Real Decreto 1720/2007.

El derecho a la protección de los datos personales no es un derecho absoluto sino que debe considerarse en relación con su función en la sociedad y mantener el equilibrio con otros derechos fundamentales, con arreglo al principio de proporcionalidad.

Licitud del tratamiento de datos personales

El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:

a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;

b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;

c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;

d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;

e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;

f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

Condiciones para el consentimiento del tratamiento de datos

Cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales.

Si el consentimiento del interesado se da en el contexto de una declaración escrita que también se refiera a otros asuntos, la solicitud de consentimiento se presentará de tal forma que se distinga claramente de los demás asuntos, de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo. No será vinculante ninguna parte de la declaración que constituya infracción del presente Reglamento.

El interesado tendrá derecho a retirar su consentimiento en cualquier momento. La retirada del consentimiento no afectará a la licitud del tratamiento basada en el consentimiento previo a su retirada.

Antes de dar su consentimiento, el interesado será informado de ello. Será tan fácil retirar el consentimiento como darlo.

Al evaluar si el consentimiento se ha dado libremente, se tendrá en cuenta en la mayor medida posible el hecho de si, entre otras cosas, la ejecución de un contrato, incluida la prestación de un servicio, se supedita al consentimiento al tratamiento de datos personales que no son necesarios para la ejecución de dicho contrato.

El Reglamento Europeo de Protección de Datos

El Reglamento Europeo de Protección de datos 2016/679 de 27 de abril de 2016, respeta todos los derechos fundamentales y observa las libertades y los principios reconocidos en la Carta conforme se consagran en los Tratados, en particular el respeto de la vida privada y familiar, del domicilio y de las comunicaciones, la protección de los datos de carácter personal, la libertad de pensamiento, de conciencia y de religión, la libertad de expresión y de información, la libertad de empresa, el derecho a la tutela judicial efectiva y a un juicio justo, y la diversidad cultural, religiosa y lingüística.

MANUAL-BÁSICO-PROTECCIÓN-DE-DATOS

Adaptación de empresas a la LOPD

Para ello, en la propia Ley de Protección de Datos y su reglamento, se señalan en que casos las empresas y autónomos, deben adaptar sus ficheros a la Ley de Protección de Datos, y los niveles de seguridad que deben tener, en función de los datos contenidos en los citados ficheros, estableciéndose tres Niveles de seguridad, Bajo, Medio y Alto.

Dichos niveles de seguridad dependerán de si se tiene, por parte de la empresa, ficheros con campos como nombre y apellidos únicamente o también se dispone de datos de salud, por ejemplo, en cuyo caso, se deben de tomar unas u otras medidas de seguridad y seguir un determinado protocolo de protección de datos.

Igualmente, el cumplimiento de todos los planteamientos que realiza la Ley con el protocolo de adaptación a la Ley de Protección de Datos y en su caso, posterior Auditoria, requiere que empresas pequeñas (pymes), autónomos y profesionales, no suficientemente informados, se encuentren con una inspección de la Agencia de Protección de Datos, y posteriormente con una sanción de dicha Agencia, sanción que, como todo procedimiento sancionador, puede ser impugnada en vía administrativa, mediante el recurso de reposición correspondiente y posteriormente por vía contencioso-administrativa ante la Audiencia Nacional.

La protección de datos y el derecho al olvido 

borrado-de-datos-internetEl derecho al olvido o borrado de historial personal en Internet, es el derecho de cualquier persona física o jurídica (empresa) a no figurar en las búsquedas de Internet, en cumplimiento de los derechos de acceso, modificación, rectificación o cancelación de sus datos.

El derecho al olvido es una aplicación íntegra de los derechos de protección de datos personales, incluida imagen, sonido, etc., que el afectado entienda que le produce daños a su imagen  – reputación online – o a su intimidad, como es el caso de cuando una persona ha figurado en un determinado listado con connotaciones peyorativas que vulneran su imagen personal.

Recientemente en mayo de 2014 el Tribunal de Justicia de la Unión Europea ha fallado en contra del buscador Google por incluir datos de un particular que figurando en un registro concreto de carácter personal, se indexó dicho registro y figuraba en las búsquedas de Internet de tal forma que el TJUE ha dictaminado que el buscador Google debía de borrar los datos que contuvieran dicha circunstancia, teniendo el ciudadano derecho a exigir no figura con sus datos personales en las búsquedas que se efectuaran.

¿Que es un dato de carácter personal?

El artículo.3 .a LO 15/1999 de 13 diciembre 1999,  de Protección de Datos de Carácter Personal,  considera dato de carácter personal cualquier información concerniente a personas físicas identificadas o identificables. Vemos pues que se trata de un concepto muy amplio.

El artículo.5 .f RD 1720/2007 de 21 diciembre 2007, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, ha tratado de precisar esta definición señalando que datos de carácter personal es cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables, concretando en el apartado g) qué se entiende por datos de carácter personal relacionados con la salud: las informaciones concernientes a la salud pasada, presente y futura, física o mental, de un individuo.

Datos de salud de alta protección en la LOPD

En particular, se consideran datos relacionados con la salud de las personas los referidos a su porcentaje de discapacidad y a su información genética.

Consentimiento del afectado y cesión de datos 

El artículo.3 .h de la LO 15/1999 de 13 diciembre, de Protección de Datos de Carácter Personal, dice que el consentimiento del interesado es toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen.

Video-tutorial-AGPDDe esta definición se desprende que es necesario que concurran cuatro requisitos para que el consentimiento sea válido a los efectos de legitimar un tratamiento de datos personales.

Consentimiento libre

En primer lugar que el consentimiento se preste libremente lo que supone que el mismo ha de obtenerse libre de vicios del consentimiento en los términos regulados en el CC CC (violencia, intimidación, error…).

Consentimiento informado

El consentimiento ha de ser informado lo que significa que el afectado o interesado conoce que se va a realizar un tratamiento con sus datos y cual va a ser el alcance de ese tratamiento.

Consentimiento expreso

Esta información debe ser expresa, precisa e inequívoca en relación a la existencia del fichero o tratamiento, a la finalidad perseguida por la recogida de los datos y los destinatarios de la información, del carácter obligatorio o facultativo de las respuestas a las preguntas planteadas, de las consecuencias de la obtención de los datos o de la negativa a suministrarlos, de la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición, así como de la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

Derecho de información sobre los datos personales 

Imagen GoogleEl derecho de información previo al tratamiento de los datos personales es uno de los derechos básicos y principales contenidos en la Ley Orgánica de Protección de Datos 15/1999 de 13 diciembre 1999, por tanto, si se van a registrar y tratar datos de carácter personal, será necesario informar a los interesados, a través del medio que se utilice para la recogida, del contenido del artículo.5 .1 de Protección de Datos de Carácter Personal, que regula el derecho de información de los afectados previo a la recogida de los datos:

Informar expresamente al usuario

Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:

    1. De la existencia de un fichero de tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
    2. El carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
    3. Las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
    4. La posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
    5. y la identidad y dirección del responsable del tratamiento o, en su caso, de su representante….
  1. Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior.”

En la práctica, la falta de información cuando se recaban datos personales constituye uno de los defectos más habituales, como señala la Memoria de la AEPD correspondiente al año 2003 y las consultas sobre cláusulas informativas a los afectados, en cumplimiento del artículo.5 LO 15/1999 de 13 diciembre 1999, de Protección de Datos de Carácter Personal, se han incrementado en dicho año un 196%.

Sanciones de la Agencia de Protección de Datos 

Para velar por el cumplimiento de la citada Ley Orgánica de Protección de Datos(LOPD) y controlar su aplicación se creó la Agencia Española de Protección de Datos.

La citada Agencia es un ente de derecho público, con personalidad jurídica propia y plena capacidad pública y privada y que actúa con plena independencia de las Administraciones Públicas.

Entre sus funciones más destacadas, además de atender las peticiones y reclamaciones de las personas físicas afectadas, se encuentran las de mantener el registro general, donde se han de inscribir los ficheros de titularidad pública y privada con datos de carácter persona y, si fuera necesario, ejercer la potestad sancionadora sobre los responsables y encargados del tratamiento, en los términos previstos por la ley.

Por otra parte, desde el 26 de junio de 1999 está en vigor el Reglamento de Seguridad (RD 994/99 de 11 de junio) que desarrolla la mencionada ley orgánica y que establece la obligación de las empresas de poner en marcha diversas medidas destinadas a garantizar la protección de dichos datos, afectando a sistemas informáticos, archivos de soportes de almacenamiento, personal, procedimientos operativos, etc.

Es en la AGPD ante quién deberá, todo interesado, que entienda que se ha vulnerado su derecho de protección de sus datos personales, ante quién debe denunciar a la empresa infractora.

La cesión de datos como infracción administrativa 

La comunicación o cesión de datos de carácter personal fuera de aquellos casos en que esté legalmente autorizada, integra una de las infracciones muy graves contempladas en el art. 44.4.b).

Como es sabido, el art. 11 de la LOPD establece el régimen jurídico del que se deriva la licitud o ilicitud del acto de comunicación.

Como regla general, los datos de carácter personal sólo podrán ser comunicados a un tercero para el cumplimiento de los fines directamente relacionados con las funciones legítimas del cedente y del cesionario y con el consentimiento del interesado.

El mismo precepto fija las excepciones a ese principio del consentimiento (cesión autorizada por ley, datos recogidos de fuentes accesibles al público, tratamiento derivado de una relación jurídica libremente aceptada, comunicación a autoridades e instituciones en los casos admitidos o datos de salud necesarios para solucionar una urgencia).

El deber de secreto en los datos personales 

datos-protegidos-confidencialesLa gravedad de la infracción administrativa del deber de secreto impuesto por el art. 10 de la LOPD se gradúa en función de la naturaleza de los datos afectados por esa vulneración.

Como se desprende del art. 44, en sus apartados 3.g) y 4.g), la infracción de ese deber de discreción puede ser catalogada como infracción muy grave –si se refiere a datos ultrasensibles o que hayan sido recabados para fines policiales sin consentimiento de las personas afectadas- o grave -cuando aludan a datos referentes a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros, prestación de servicios de solvencia patrimonial y crédito, así como aquellos otros que permitan evaluar la personalidad del individuo-.

Infracciones muy graves en cuanto a datos personales

Entre las infracciones de carácter muy grave que sistematiza el art. 44.4, su apartado d) incluye el “…no cesar en el uso ilegítimo de los tratamientos de datos de carácter personal cuando sea requerido para ello por el Director de la Agencia de Protección de Datos”.

Ese requerimiento es acorde con la función que el art. 37 de la LOPD menciona en el art. 37.f). Se trata, en fin, de exigir de los responsables y encargados de los tratamientos la adopción de las medidas necesarias para la adecuación de ese tratamiento a las exigencias impuestas por la ley, pudiendo ordenar, en su caso, la cesación y hasta la cancelación de los ficheros que no se ajusten a sus disposiciones.

La LOPD asocia a la conducta de inobservancia de tales requerimientos el efecto sancionador en forma de infracción muy grave.

Algo similar acontece con la LSSI, cuyo art. 38.2 a) cataloga como infracción muy grave el incumplimiento de las órdenes dictadas por el órgano administrativo competente encaminadas a la interrupción de la prestación de un servicio o a la retirada de datos en que se atente contra algunos de los principios que el propio art. 8 menciona.

El problema podría surgir en aquellas ocasiones en que por los mismos hechos se incoara un proceso penal –perfectamente posible si el Director de la Agencia de Protección de Datos o la autoridad administrativa competente, según los casos, dedujera el tanto de culpa al Ministerio Fiscal-, para indagar la posible existencia de un delito de desobediencia tal y como lo describe el art. 556 del CP.

Los protocolos de adaptación a la Ley  

  • Inscripción de los ficheros.
  • Redacción del documento de seguridad.
  • Auditoria DE PROTECCIÓN DE DATOS PERSONALEs

Niveles de seguridad en el tratamiento de datos 

niveles-seguridad-proteccion-datosLos niveles de seguridad, son los que se ha establecido en la propia Ley y Reglamento de Protección de datos, en función de los datos a tratar por la responsable de un fichero, a fin de configurar su grado de seguridad en dicha aplicación, así se han establecido los niveles de seguridad siguientes:

  • Nivel Básico: Nombre, apellidos, dirección de contacto (tanto física como electrónica), teléfono (tanto fijo como móvil), otros.
  • Nivel Medio: Además de los anteriores, que contengan datos relativos a comisión de infracciones penales, comisiones infracciones administrativas, contra la Hacienda Pública e informaciones financieras.
  • Nivel Alto: Además de los anteriores, que contengan datos de ideología, afiliación sindical, religión, creencias, origen racial, salud, vida.

Dependiendo del nivel de seguridad las empresas deberán disponer y haber tomado unas medidas u otras de seguridad de los soportes en los que contengan los datos indicados, para no incurrir en las infracciones que seguidamente se mencionan.

Infracciones y Sanciones de la ley de protección de datos 

Están tipificadas como infracciones leves, no atender a los interesados en el ejercicio de sus derechos e incumplir el deber de secreto en cualquier fase del tratamiento de los datos personales.

El infractor puede ser sancionado con multa entre 601,01 y 60.101,21 euros.

Se tipifican como graves, por ejemplo, el proceder a la recogida de datos sin consentimiento de las personas afectadas, vulnerar el deber de secreto sobre los datos de carácter personal incorporados a ficheros que contengan datos de servicios financieros y mantener ficheros con datos de carácter personal sin las medidas de seguridad que le sean exigibles.

El infractor puede ser sancionado con multa comprendida entre 60.101,21 y 300.506,05 euros.

Se tipifican como muy graves, por ejemplo, la desobediencia a la Agencia, la reincidencia en sanciones graves, la recogida engañosa de datos personales o los incumplimientos indicados anteriormente cuando afecten a datos personales especialmente protegidos (ideología, afiliación sindical, religión, creencias, origen racial, salud y vida sexual).

El infractor puede ser sancionado con multas comprendidas entre 300.506,05 y 601.012,10 euros.

La protección de datos de las Entidades Financieras

En general, la normativa que rige la actividad de las entidades financieras, básicamente las circulares del Banco de España y los Estatutos, siempre ha sido muy estricta en cuanto a la manera en que se deben tratar los datos de sus clientes.

Estas mismas empresas se cuidan mucho de transmitir una imagen de seguridad y confidencialidad que les ayude para ganar confianza de sus impositores y clientes, máxime teniendo en cuenta la puesta en marcha por casi la totalidad de ellas de la Banca virtual.

Los contratos de entidades financieras en la protección de datos

Se pueden distinguir dos tipos de contratos, afectados por distintos principios de la LOPD. Por un lado, los contratos que las entidades establecen con sus clientes deben garantizar el tratamiento lícito y leal, contemplando el derecho de información en la recogida de los datos y el consentimiento del afectado.

Por otro, los contratos que se firman con terceros, ya sea por la prestación de algún servicio o por cualquier otro tipo de relación, deben cumplir con los principios de comunicación de datos o con el de acceso a los datos por cuenta de terceros.

En la práctica, significa que, cualquier documento en el que la entidad sea una de las partes, deberá tener ineludiblemente el clausulado correspondiente.

Régimen internacional de los datos personales 

Podemos definir transferencia internacional de datos como aquel transporte de datos entre sistemas informáticos por cualquier medio de transmisión, así como el transporte de soportes de datos por correo o cualquier otro medio convencional.

En virtud de la competencia que la L.O 15/99 le otorga a la Agencia de Protección de Datos (en adelante APD), ésta ha elaborado la Instrucción 1/2000 por la que se rigen los movimientos internacionales de datos.

Existen dos Órdenes, una de 2 de Febrero de 1995 y otra de 31 de Julio de 1998 del Ministerio del Interior, que establecen la relación de países que disponen de un nivel de seguridad equiparable al de España en lo que atañe al tratamiento de estos datos (norma IV, sección II de la Instrucción 1/2000).

Transferencia de datos personales a países con regulación diferente de LOPD

La transferencia a países que no tengan este nivel de protección requiere autorización del Director de la APD, previa aportación del contrato escrito celebrado entre el transmitente y el destinatario.

Si el destinatario incumple el contrato, afectando con ello a los titulares de los datos personales, será responsable solidario junto con el transmitente, pudiendo ser sancionados severamente, con multa de hasta 60 mil euros.

Aquellas empresas que publiquen datos de carácter personal en la Red, tendrán que cumplir también con los requisitos establecidos en la Instrucción 1/2000.

Sin embargo, es de difícil cumplimiento puesto que, a tenor del texto, estas empresas deberán adjuntar a la solicitud de transferencia de datos a través de Internet presentada a la APD, todos los contratos celebrados con todas las empresas que acceden a la Red, y esto, claro está, es imposible.

Protección de ficheros médicos y hospitalarios 

No existe una definición de datos de salud en la Ley Orgánica 15/1999, de 13 de Diciembre, de Protección de Datos de Carácter Personal (en adelante LOPD), ni en el Real Decreto 1332/1994, de 20 de Junio por el que se desarrollan determinados aspectos de la LORTAD.

Sin embargo, la Recomendación nº (97)5 de 13 de Febrero de 1997, del Comité de Ministros del Consejo de Europa a los Estados miembros sobre Protección de Datos Médicos, da una definición general de “dato médico” definiéndolo como todo dato personal relativo a la salud de un individuo, incluyendo aquellos que tienen una clara y estrecha relación con la salud y los datos genéticos.

La ley aplicable a los datos médicos es la LOPD, sin embargo existe una normativa sectorial a la que mas adelante haremos referencia.

Consideración de datos especialmente protegidos

Los datos relativos a la salud tienen la consideración de datos especialmente protegidos, y la razón de ello reside en que forman parte de la intimidad y privacidad del individuo, derecho reconocido y protegido por nuestra constitución. (artículo 18.1 y 4 C.E)

El párrafo 3 del artículo 7 de la LOPD establece que los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual solo podrán ser recabados, tratados y cedidos cuando por razones de interés general, así lo disponga una ley o el afectado consienta expresamente.

El artículo 8 dela LOPD, establece específicamente para los datos relativos a la salud lo siguiente:

Sin perjuicio de lo que se dispone en el artículo 11 respecto de la cesión, las instituciones y los centros sanitarios públicos y privados y los profesionales correspondientes podrán proceder al tratamiento de los datos de carácter personal relativos a la salud de las personas que a ellos acudan o hayan de ser tratados en los mismos, de acuerdo con lo dispuesto en la legislación estatal o autonómica sobre sanidad.

De manera que serán los profesionales sanitarios o los individuos u órganos que trabajen en representación de los mismos los únicos legitimados para recoger y procesar datos médicos.

¿Que se puede exigir al médico o sanitario respecto a los datos personales?

Cuando un paciente da sus datos a un profesional sanitario para que éste forme su ficha médica o en caso de ingreso hospitalario, puede exigir al médico que le informe sobre que va a pasar con esos datos.

El paciente debe ser informado de modo expreso, preciso e inequívoco que sus datos van a ser recogidos en un fichero, de la finalidad de la recogida y de los destinatarios de los mismos.

Así mismo, el paciente puede ejercitar los derechos de acceso, rectificación, cancelación y oposición, y para ello deberá ser informado de la identidad del responsable del tratamiento y de la dirección del mismo.

Legitimidad de la solicitud de datos médicos

El tratamiento de estos datos es totalmente reglamentario siempre que se realice con fines asistenciales y con el expreso consentimiento del afectado o autorización legal basada en razones de interés general.

Respecto al INSALUD existe una Circular 9/97 de 9 de Julio: Instrucciones del Insalud sobre seguridad y protección de datos, que establece la obligación de informar sobre la existencia de un fichero, la finalidad de la recogida, del carácter obligatorio o facultativo de la recogida de datos y de la existencia de cesión o transferencia internacional de datos.

PROYECTO TAIR (Terminal Autónomo de Identificación de Registros)

El TAIR es un terminal de registro y almacenamiento de datos que utiliza cada médico en su consulta. El médico pasa la tarjeta sanitaria del paciente por el lector y éste crea una etiqueta que se pega a la receta que el médico prescribe. En esta etiqueta aparece el CIP (Código de Identificación del Paciente) y el CIAS (Código de Identificación del Área Sanitaria), datos de carácter administrativo, necesarios para la gestión del paciente por el Insalud y para determinar los perfiles de consumo de los usuarios.

De esta manera se posibilita el establecimiento de medidas de racionalización del gasto y un mejor control y lucha contra el fraude en la presentación farmacéutica.

Datos del paciente siempre bajo control

Los datos del paciente quedan siempre bajo el control del Insalud, pudiendo acceder a ellos también, de forma restringida, las Farmacias y los Colegios Farmacéuticos.

La receta pasa a la farmacia, y el licenciado/a pasa el código de barras de la etiqueta por el lector y expide el medicamento, sin conocer datos personales sobre el sujeto, mas que el CIP. En este caso no se produce un cesión de datos puesto que las farmacias no se consideran terceros.

Los datos personales en las farmacias

Las farmacias envían las recetas al Colegio Oficial de Farmacéuticos, los cuales envían los datos a terceras empresas que prestan el servicio de recogida y grabación de estos datos, creando un gran fichero.

Este proceso está regulado por un Convenio de 17 de Noviembre de 1998, suscrito por el Presidente Ejecutivo del Insalud y la Dirección General de Colegios Oficiales de Médicos y Farmacéuticos.

Cualquier uso distinto que el Colegio quisiera dar a estos datos necesitaría autorización del Insalud, ya que éste es el responsable del fichero

Para la existencia de este fichero de titularidad pública era necesario que una norma autorizase su creación, por ello se dictó la Orden Ministerial del Consejo General de Consumo de 21 de Julio de 1994.

En un principio se arrojaron dudas acerca de la fiabilidad de este sistema, sin embargo, el Director de la Agencia de Protección de Datos (APD) entendió que este procedimiento era conforme a la LOPD, ya que se respetaba la intimidad del usuario y la confidencialidad de sus datos médicos.

La protección de los ficheros con datos de VIH 

En la actualidad existe un fichero nacional, dependiente del Ministerio de Sanidad (Plan Nacional de Sida) en el que se registran los datos de los pacientes enfermos de SIDA (Síndrome de Inmunodeficiencia Adquirida).

Se trata de una enfermedad de declaración obligada (EDO), por lo que los médicos han de informar de que tienen un paciente enfermo de SIDA, esta información pasa a las delegaciones provinciales, que la envían a las autoridades autonómicas, que a su vez envían las actualizaciones del fichero al Ministerio de Sanidad.

Información al paciente sobre sus datos médicos

Los médicos han de informar al paciente de la existencia de este fichero, que contiene su nombre y apellidos, dirección, fecha de nacimiento y fecha de defunción.

La finalidad de la existencia de este fichero es el interés general, para seguir un control de la enfermedad.

Los ficheros personales de donaciones

Existe un fichero de donaciones, en el cual se recogen el nombre, apellidos, dirección y resultado de la analítica del donante.

La finalidad de su registro es la de seguir los resultados y poder notificar al paciente la próxima cita.

El Real Decreto 1854/1993, de 22 de Octubre, por el que se determina con carácter general los requisitos técnicos y condiciones mínimas de la hemodonación y bancos de sangre, regula en su artículo 29 el registro de estos datos.

Los datos se guardarán por un plazo de tiempo no superior a 5 años, sin embargo, si se cree que existe posibilidad de transmisión de enfermedades infecciosas se guardarán indefinidamente.

Protección de datos de salud en el ámbito laboral 

Es habitual que las empresas realicen reconocimientos médicos a sus empleados, siempre con el consentimiento de estos últimos, ya que no están obligados a someterse a ellos.

El empresario sí que está obligado a ofrecer a sus empelados este reconocimiento médico, en el cual, se recogerán una serie de datos identificativos del paciente y se presentará un diagnóstico en el que se determine si el empleado es apto o no apto para realizar su trabajo, sin revelar la enfermedad o dolencia que lo incapacita para ello.

Por lo tanto, el empresario puede crear un fichero que recoja la capacidad o incapacidad de los trabajadores, sin detallar ningún dato más. Con el fin de comprobar el estado de su plantilla.

Sin embargo, si el trabajador tiene alguna minusvalía sí sería posible crear este fichero, en el que se detallara el tipo de minusvalía, el porcentaje de la misma, etc, ya que existen bonificaciones a aquellos empresarios que contratan a personas con algún tipo de minusvalía, física o mental, por lo que la APD considera posible y conforme a la ley su existencia.

Que dice el Tribunal Constitucional

El TC en una Sentencia ordenó a la entidad bancaria BCH a destruir un fichero con datos de salud de sus trabajadores contenido en su base de datos laborales, por entender que violaba el derecho a la intimidad reconocido por los artículos 18.1 y 18.4 de la Constitución. Este fichero se utilizaba para controlar el absentismo de los empleados, y recogía gran cantidad de datos, excesivos en opinión del Tribunal Constitucional, ya que albergaba incluso datos médicos de trabajadores ya jubilados.

Por otra parte, no se guardaba la debida confidencialidad sobre los mismos, ni se adoptaron las medidas de seguridad necesarias para asegurarla.

Noelia García Noguera.
Abogada especialista en Nuevas Tecnologías.

El SPAM sancionable por la Agencia de Protección de Datos 

Tuabogadodefensor | Abogados Protección datos personales

La Agencia Española de Protección de Datos (APD) tramita en la actualidad expedientes sancionadores contra compañías españolas que envían correos electrónicos comerciales no solicitados, popularmente conocidos como ‘spam’, aunque todavía no se ha producido en nuestro país ninguna multa por esta infracción.

Reunión internacional

En ese sentido, se refirió a la importancia de la reunión celebrada el pasado 11 de octubre en Londres, bajo los auspicios de la OCDE, donde participaron responsables de la aplicación y ejecución de las normas ‘anti-spam’ de 15 diferentes países de los cinco continentes, y sectores industriales implicados.

Fruto de esta reunión fue la adopción de un acuerdo por el que 19 autoridades inician un Plan de Acción conjunto (London Action Plan on Spam), consistente en actuaciones muy directas (designación de puntos de contacto, comunicaciones periódicas entre países, intercambio de experiencias y problemas, etc.) que permitan establecer cauces fluidos de comunicación y cooperar mutuamente en la lucha contra este problema.

Medios escasos

En cuanto a su plantilla, la APD negocia en la actualidad “otro incremento” de personal. La agencia cuenta en la actualidad con doce inspectores, que trabajan en equipos de dos por todo el territorio nacional. “Son unos medios escasísimos para todas las denuncias que reciben. Una persona tiene setenta expedientes al mismo tiempo, algunos de una gran complejidad técnica”, denunció Piñar ante los diputados de la comisión.

Por otro lado, en el último año se han incrementado un treinta por ciento el número de expedientes abiertos por Protección de Datos y, en lo que va de 2004, la cifra alcanza los 900. Además, más del noventa por ciento de los procedimientos de infracción que se inician son denuncias de ciudadanos.

Piñar destacó las reclamaciones presentadas contra responsables de ficheros de entidades financieras (morosidad), publicidad (‘spam’) y telecomunicaciones (preasignación con otros operadores), así como sobre el tratamiento de datos de salud, que están especialmente protegidos en la ley.

Normas sobre protección datos Internacionales o intercambio de datos

pdfIntercambio de datos internacionales

El Registro de Protección de Datos

agencia-espanola-de-proteccion-de-datosEs el órgano de la Agencia Española de Protección de Datos al que corresponde velar por la publicidad de la existencia de los ficheros y tratamientos de datos de carácter personal, con miras a hacer posible el ejercicio de los derechos de información, acceso, rectificación y cancelación de datos regulados en los artículos 14 a 17 de la Ley Orgánica 15/99, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Inscripción de ficheros en la Agencia de Protección de Datos

Serán objeto de inscripción en el Registro General de Protección de Datos:

  1. Los ficheros de las Administraciones Públicas
  2. Los ficheros de titularidad privada
  3. Las autorizaciones de transferencias internacionales de datos de carácter personal con destino a países que no presten un nivel de protección equiparable al que presta la LOPD a que se refiere el art. 33.1 de la citada Ley.
  4. Los códigos tipo, a que se refiere el artículo 32 de la LOPD.
  5. Los datos relativos a los ficheros que sean necesarios para el ejercicio de los derechos de información, acceso, rectificación, cancelación y oposición.

Auditoria de Protección de datos Personales

La auditoria de Protección de datos, se regula de acuerdo con el artículo 9 de la LOPD que establece que, el responsable del fichero y en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida, cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.

“La implantación, idoneidad y eficacia de las medidas de seguridad exigidas por el artículo 9.1 de la Ley Orgánica se acreditará mediante la realización de una Auditoria, proporcionada a la naturaleza, volumen y características de los datos personales almacenados y tratados, y la remisión del informe final de la misma a la Agencia Española de Protección de Datos”.

Una vez el auditor dispone formalmente del encargo de realizar una Auditoria de verificación del cumplimiento del Título VIII del Reglamento de LOPD conforme lo establecido en el artículo 96 y 110 del citado Reglamento, pueden iniciarse las actuaciones que componen los trabajos de Auditoria en la organización del responsable o en su caso del encargado del tratamiento, en función obviamente de cuál de los dos ha efectuado el encargo de la Auditoria.

El Delegado de Protección de Datos

delegado protección datos

El Delegado de Protección de Datos (DPO o DPD) es una persona que debe estar cualificada en el ámbito de protección de datos y ha de ser nombrado atendiendo a sus cualidad profesionales y, en particular, a su conocimiento de la legislación y la práctica de la protección de datos. Aunque no debe tener una titulación específica, en la medida en que entre las funciones del DPD se incluya el asesoramiento al responsable o encargado en todo lo relativo a la normativa sobre protección de datos.

Libros Recomendados:

Fuente de información principal:REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)

ABOGADOS ESPECIALISTAS EN PROTECCIÓN DE DATOS
Si necesita un abogado para que le asesore en el ámbito de la ley de protección de datos o concertar una Auditoria legal de LOPD.

CONTACTE CON NOSOTROS