Blog del Servicio de Prevención del Fraude

Asociación Nacional de Establecimientos Financieros de Crédito (ASNEF)





C/ Velázquez, 64-66, 2ª planta

28001 Madrid

Teléfono del Servicio: 917814551

Fax: 914314646



Correo electrónico: spfraude@asnef.com







viernes, 30 de julio de 2010

SENTENCIAS DEL TRIBUNAL SUPREMO EN MATERIA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL



Recientemente se han publicado las Sentencias del Tribunal Supremo de fecha 15 de julio de 2010, que tienen un gran interés jurídico y que por tanto resultan de obligado estudio para los interesados en la materia de protección de datos de carácter personal:



Como adelanto a ese estudio, que ya están realizando los especialistas del derecho, y en relación con la primera de las sentencias, hay que indicar que el Tribunal Supremo estima en parte y anula, por disconformes a derecho, los artículos 11, 18, 38.2, y 123.2 de la disposición reglamentaria, así como la frase del artículo 38.1.a) que dice así: "... y al respecto de la cual no se haya entablado reclamación judicial, arbitral o administrativa, o tratándose de servicios financieros, no se haya planteado una reclamación en los términos previstos en el reglamento de los Comisionados para la defensa del cliente de servicios financieros, aprobado por Real Decreto 303/2004, de 20 de febrero".

Además de lo anterior, la Sentencia deja imprejuzgada la impugnación del artículo 10.2. a) y b), por planteamiento de cuestión prejudicial ante el Tribunal de Justicia de las Comunidades Europeas, hasta que dicho Tribunal se pronuncie sobre la cuestión de mención.


Los aspectos más importantes de la Sentencia sobre los aspectos impugnados son los siguientes:

  • Artículo 5. Definiciones. Del apartado 1.q), el inciso <>.
La Sentencia recoge que no hay razón para apreciar la nulidad del precepto reglamentario ni para el planteamiento de cuestión prejudicial, pues la frase “aunque no lo realizase materialmente” no supone una ampliación de las personas responsables.

  • Artículo 8. Principios relativos a la calidad de los datos, en el párrafo 3º de su apartado 5.
Tampoco se aprecia razón para la nulidad de dicho precepto.

  • Artículo 10. Supuestos que legitiman el tratamiento o cesión de los datos, en los apartados 2.a), supuesto primero, y 2.b), párrafo primero.
El Tribunal Supremo ha acordado suspender única y exclusivamente el procedimiento respecto de la impugnación del artículo 10, apartados 2. a) y b) del Reglamento de la Ley Orgánica de Protección de Datos, hasta la resolución del incidente prejudicial planteado y dictar sentencia con relación a los demás artículos impugnados y plantear al Tribunal de Justicia de las Comunidades Europeas las cuestiones prejudiciales.

Este precepto es el único de los impugnados que ofrece dudas al Tribunal sobre su adecuación a la Directiva 95/46/CE del Parlamento Europeo y del Consejo.

  • Artículo 11. Verificación de datos en solicitudes formuladas a las Administraciones Públicas.
Este precepto fue objeto de impugnación al considerar que habilita un nuevo supuesto de tratamiento y/o cesión de datos por parte de las Administraciones Públicas sin consentimiento de los interesados, sin más habilitación que una norma reglamentaria.

La impugnación del artículo 11 del Reglamento ha sido estimada.

  • Artículo 12. Principios generales, en su apartado 2.
Este precepto fue impugnado al considerar que infringía el artículo 11.3 de la Ley Orgánica 15/1999, pues la utilización en el precepto reglamentario de la conjunción acumulativa “y” en lugar de la disyuntiva “o” empleada en el de la Ley, altera el contenido de este último.

El Tribunal ha considerado que una y otra norma coinciden en las prevenciones que contienen y que, en consecuencia, la impugnación ha de desestimarse.

  • Artículo 13. Consentimiento para el tratamiento de datos de menores de edad, en su apartado 4.
La Sentencia recoge que la comprobación de la edad del menor puede presentarse en ocasiones como difícil, pero ello no debe de servir de excusa para la adopción de las medidas de garantía adecuadas que, en definitiva, es lo único que exige el precepto reglamentario impugnado, razón esta última que impide considerar la exigencia que previene como desproporcionada, cuando afecta o incide en un ámbito especialmente sensible.

  • Artículo 18. Acreditación del cumplimiento del deber de información. En el inciso final de su apartado 1 y en su apartado 2.
La Sentencia recoge, contrariamente a lo que sostiene el Abogado del Estado, que dicho precepto no se limita a poner de manifiesto que la carga de probar el efectivo cumplimiento del deber de informar corre a cargo del responsable del fichero o tratamiento. Lo que en realidad establece es la obligación de que la prueba de ese efectivo cumplimiento conste documentalmente o por medios informáticos o telemáticos.

La Ley reconoce en el artículo 5 el derecho a la información en la recogida de datos, concreta el contenido de la información, y advierte de que el deber de informar ha de ser previo a la recogida, pero salvo la indicación de que la información ha de ser expresa, precisa e inequívoca, ninguna referencia contiene a la forma, abriendo así múltiples posibilidades (escrita, verbal, telemática, etc.). En consecuencia, debe considerarse que el legislador ha optado por la libertad de forma y por ello esta disposición reglamentaria contraviene la Ley y por ello debe ser anulada.

  • Artículo 21. Posibilidad de subcontratación de los servicios. En su apartado 2.a).
No ha sido acogida la impugnación de este apartado, pues si el responsable del tratamiento, de conformidad con el artículo 17.2 de la Directiva, debe elegir un encargado del tratamiento que ofrezca garantías suficientes en relación con las medidas de seguridad técnica y de organización de los tratamientos que deben efectuarse, y asegurarse que se cumplen dichas medidas, y si de conformidad con el apartado 3 del indicado artículo el encargado del tratamiento solo actúa siguiendo instrucciones del responsable del tratamiento, no se puede negar capacidad de disposición a éste en supuestos de subcontratación.

La posibilidad de que el responsable del tratamiento pueda controlar el mercado de servicios de tratamiento, bien mediante el veto de una o varias empresas, bien mediante la manifestación de preferencia por alguna o algunas, por constituir una mera hipótesis, necesariamente debe ceder ante una previsión reglamentaria específica pero con cobertura. Otra cosa es que ya en el terreno de la realidad deban corregirse por quien corresponda prácticas restrictivas de la competencia.

  • Artículo 23. Carácter personalísimo, en su apartado 2.c).
Tampoco se acoge la impugnación, pues la Sentencia recoge que un derecho de carácter personalísimo puede ejercitarse por medio de un representante voluntario.

  • Artículo 24. Condiciones generales para el ejercicio de los derechos de acceso, rectificación, cancelación y oposición, el inciso final del párrafo 1º del artículo 24.3 y el párrafo 2º del mismo artículo.
También se desestima esta impugnación y se indica que el concepto de “ingreso adicional” está referido a aquellos ingresos que pudieran proceder del interesado. Otros ingresos que no procedan del afectado no se contemplan en este artículo.

  • Enunciado de la Sección 2ª, del Capítulo I del Título IV, en cuanto se refiere también al <> de obligaciones dinerarias.
El recurso recogía la ilegalidad del término "cumplimiento", en cuanto a hacer referencia a los llamados ficheros positivos o de solvencia y no regularlos en los artículos integradores de la Sección (artículos 38 a 44). La impugnación fracasa porque el epígrafe de la Sección, al carecer de efectos normativos, no puede ser impugnado.

No obstante, no se discute por el Tribunal la relevancia de los ficheros de carácter positivo o de solvencia y afirma que la omisión reglamentaria no supone una prohibición de los ficheros positivos. Dichos ficheros solo resultan admisibles con el consentimiento del afectado.

  •  Artículo 38. Requisitos para la inclusión de los datos, en sus apartados 1.a) (en el inciso <>) y b) (en el inciso <>), 2 y 3.
Se estima la impugnación del artículo 38.1.a) en el sentido de eliminar del mismo la frase "... y respecto de la cual no se haya entablado reclamación judicial, arbitral o administrativa, o tratándose de servicios financieros, no se haya planteado una reclamación en los términos previstos en el Reglamento de los Comisionados para la defensa del cliente de servicios financieros, aprobado por Real Decreto 303/2004, de 20 de febrero".

Igualmente se estima la impugnación del apartado 2 del artículo 38 pues, si bien es cierto que la prueba de indicios es una prueba admitida en nuestro derecho, pero no lo es menos que no es equiparable a la prueba de presunciones. Sin duda juega un papel relevante en el ámbito cautelar, pero reconoce que la redacción de la norma al no concretar qué principio de prueba exige (documental, pericial, testifical, etc.), junto a la dificultad de apreciación del grado exigible de la prueba indiciaria, origina en efecto una inseguridad jurídica que debe corregirse.

La impugnación del apartado 1.b) ha sido rechazada, al igual que la del apartado 3.

  • Artículo 39. Información previa a la inclusión, en el inciso <>.
El recurso presentado argumentaba que el precepto imponía al acreedor un deber no previsto en la Ley Orgánica 15/1999, pero no ha sido estimada su impugnación.

  • Artículo 40. Notificación de inclusión, en su apartado 2.
No se admite la impugnación de este apartado, y se indica que la notificación de las deudas individualizadas, aunque sean varias, pueden ser realizadas en un solo acto.

  • Artículo 41. Conservación de los datos, en el párrafo segundo del apartado 1 y en el apartado 2 (en el inciso <>).
La Sentencia recoge que nada cabe objetar en este caso al encontrarse en absoluta armonía con el principio de calidad de datos.

Añade la Sentencia que la frase "cancelación de todo dato" empleada en el apartado 1, párrafo primero, quiere alejar toda duda sobre la posibilidad de conservar el llamado <>, dando una respuesta negativa, pero también reconoce que tal respuesta está en concordancia con el artículo 29.4 de la Ley que exige que los datos respondan con "veracidad" a la situación "actual", requisito el de la actualidad que no se cumpliría con una referencia al pasado en el que no se estuvo al corriente en pago de deudas u obligaciones.

  • Artículo 42. Acceso a la información contenida en el fichero, en su apartado 2, inciso <> del párrafo primero y todo el párrafo segundo.
Se rechaza la impugnación al interpretar el precepto reglamentario desde el punto de vista de que la escritura comprende otras formas distintas a la concepción tradicional de la escritura, como son aquellos que tienen un soporte electrónico.

  • Artículo 44. Ejercicio de los derechos de acceso, rectificación, cancelación y oposición, en su apartado 3, 1ª, en el inciso <>.
Se rechaza la impugnación, pues entiende que no se puede equiparar el plazo de diez días para que el responsable del tratamiento haga efectivo el derecho de rectificación o cancelación, con el de siete días que la disposición reglamentaria contempla como máximo para que el cesionario de los datos dé contestación a la solicitud de rectificación o cancelación, y cuyo incumplimiento origina el deber por parte del responsable del fichero común de proceder cautelarmente.

  • Artículos 45.1.b), 46.2. b) y c) y 3, 47 y 49.1 y 4.
Estos artículos son relativos a los tratamientos para actividades de publicidad y prospección comercial.

El Tribunal ha considerado que la Asociación carece de legitimación para impugnar estos artículos pues, al agrupar empresas del sector financiero, se requiere para apreciar la legitimación que actúe en representación y defensa de los intereses empresariales o profesionales de sus asociados y esto no ocurre al impugnar unos preceptos reglamentarios que se refieren a una actividad distinta de la que la caracteriza.

  • Artículo 69. Suspensión temporal de las transferencias, en su apartado 1.b) (inciso <>).
Se desestima la impugnación, pues el precepto reglamentario contempla a un Estado que por su normativa no garantiza el nivel de protección que concede la Ley Orgánica y que hay razones suficientes para creer que las autoridades competentes de dicho Estado no han adoptado o no están dispuestas a adoptar las medidas pertinentes.

  • Artículo 70. Transferencias sujetas a autorización del Director de la Agencia Española de Protección de datos, en su apartado 3. letras c) (inciso <>), d (inciso <>) y d).
Tampoco es acogida la impugnación en este caso y se remite a los mismos argumentos expresados sobre el artículo 69.1.b).

  • Artículo 123. Personal competente para la realización de las actuaciones previas, en su apartado 2, inciso <>.
Sí se estima la impugnación en este caso al entender que ni los artículos 35, 37 y 40 de la Ley Orgánica, ni ningún otro artículo de la misma, contempla la facultad que al Director de la Agencia concede el precepto reglamentario. La mención en el precepto reglamentario a "supuestos excepcionales", por su falta de concreción supone la apertura de un amplio campo para la designación que está reñida con el limitado y específico de la encomienda de gestión.

  • Disposición adicional única.
La impugnación se desestima, pues se interpreta que no impone a los responsables y encargados de los ficheros y tratamientos la utilización de un producto de determinadas características, en cuanto que lo único que exige es que se describan las características técnicas del producto para que el adquirente pueda conocer el nivel de seguridad.




CONCLUSIÓN


Como conclusión de todo lo anterior, la Sentencia estima en parte y anula, por disconformes a derecho, los artículos 11, 18, 38. 2, y 123.2 de la disposición reglamentaria, así como la frase del artículo 38.1.a) que dice así: "... y al respecto de la cual no se haya entablado reclamación judicial, arbitral o administrativa, o tratándose de servicios financieros, no se haya planteado una reclamación en los términos previstos en el reglamento de los Comisionados para la defensa del cliente de servicios financieros, aprobado por Real Decreto 303/2004, de 20 de febrero". Por otra parte, la Sentencia deja imprejuzgada la impugnación del artículo 10.2. a) y b), por planteamiento de cuestión prejudicial ante el Tribunal de Justicia de las Comunidades Europeas, hasta que dicho Tribunal se pronuncie sobre la cuestión de mención.


Información provisional recogida del
Servicio Jurídico de la Asociación

miércoles, 7 de julio de 2010

GENERALIDADES BÁSICAS SOBRE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL

Constituye un derecho fundamental de los Ciudadanos el control de sus propios datos de carácter personal, por lo que se exige su consentimiento para cualquier uso que terceras personas quisieran hacer de los mismos, con excepción de algunos supuestos perfectamente tasados y regulados por las Leyes.

Reconocido este principio básico, hemos de aceptar también que una gran parte de las actividades sociales y económicas descansan sobre los datos personales del conjunto de los Ciudadanos que deciden participar en las mismas.

El concepto de dato personal es muy amplio y abarca entre otros, el nombre, los apellidos, la filiación, la fecha de nacimiento, el domicilio y cualquier otro dato que permita la identificación de forma directa o indirecta, tal como sucede con el número de identidad, número de identificación fiscal, número de identificación de la Seguridad Social, matrículas de vehículos, teléfonos, direcciones de correo electrónico, personalizadas o no, direcciones IP, claves de acceso, etc.

El anterior listado no es exhaustivo, por lo que también tienen la consideración de datos personales otros que no se expresan mediante caracteres alfanuméricos, como por ejemplo las fotografías, el ADN, las huellas digitales, la voz, el iris, etc.

Si gran parte de la actividad social y económica descansa sobre los datos personales de sus intervinientes, y el control sobre los datos personales constituye un derecho fundamental de sus Titulares, la posesión por terceros de esta información debe estar regulada para que puedan garantizarse los derechos de sus propietarios, especialmente frente a las nuevas tecnologías de la información y la comunicación que, como sabemos, permiten el archivo, la ordenación y el intercambio de millones de datos de una forma fácil y ágil.

La garantía de los derechos de los Titulares de los Datos de Carácter Personal descansa en las Leyes establecidas al efecto por cada País y en la Normativa Internacional. Concretamente en España existe legislación sobre protección de datos en el ámbito central y autonómico, tanto de forma directa como referenciada en otras Leyes.




En España, la Autoridad independiente que se encarga en el ámbito estatal de garantizar el cumplimiento de la legislación sobre protección de datos es la:




Una vez concienciados de la existencia de este derecho y conocido el Sistema de control existente, tenemos que aprender a operar con naturalidad y tranquilidad con los datos de carácter personal que necesitemos para nuestro trabajo, sin ninguna clase de complejos, cumpliendo en todo momento con los requerimientos normativos. Y este objetivo lo podremos conseguir formándonos en esta materia, puesto que en la formación descansa la seguridad de su uso.

Los Ciudadanos que quieran participar en la actividad económica y financiera, deberán facilitar a las empresas, de forma voluntaria, aquellos datos personales que éstas consideren necesarios para el funcionamiento de su actividad.

Igualmente, si las entidades lo consideran necesario, los Ciudadanos también deberán firmar, en el momento de la solicitud de las operaciones, una CLÁUSULA DE CONSENTIMIENTO, en la que autoricen a las empresas a realizar todas aquellas gestiones que consideren necesarias para la comprobación de su identidad y para el análisis de los riesgos derivados de las operaciones que quieran contratar, especificando en dicha cláusula los ficheros externos a los que se va a acceder, el tratamiento que se va a hacer con los datos de carácter personal que se recaban, y las cesiones que se harán de los mismos en el caso de que se comprueben incongruentes o inveraces. Igualmente en el momento de la solicitud podrá recabarse la autorización para el tratamiento de los datos a través de plataformas de información positiva, puesto que en estas herramientas va a radicar en el próximo futuro una gran parte del análisis de riesgos.

La obtención de la CLAUSULA DE CONSENTIMIENTO es una decisión estratégica que debería ser asumida de inmediato por la totalidad del sector financiero (muchas entidades la han asumido ya), para trabajar de una forma eficiente en el conocimiento de los clientes y en el análisis de los riesgos, actividades éstas para las que resulta necesario apoyarse también en la colaboración y en la inteligencia compartida.

Obtenido el CONSENTIMIENTO en los términos señalados, sólo quedaría trabajar con los datos con naturalidad, tal como he indicado en párrafos anteriores, respetando los límites establecidos por el Titular de los mismos y que estarán expresados en la autorización recibida de éste.

Obtenidos los datos de carácter personal y el consentimiento necesario para su uso, sólo queda a las entidades responsabilizarse de su gestión y control mediante procedimientos eficientes.

Para una gestión eficiente de toda esta información de carácter personal, resulta necesario un tratamiento informatizado o manual, lo que obliga a las entidades a cumplir con una serie de obligaciones que están recogidas en la legislación sobre protección de datos de carácter personal.


Estas obligaciones las voy a esquematizar en la siguiente relación:



  • OBLIGACIÓN DE NOTIFICACIÓN (que es la comunicación que tiene que efectuar la empresa al Registro General de Protección de Datos, sobre la creación, modificación o supresión de cualquier fichero de datos, o del tratamiento no informatizado que vaya a realizar con los mismos.)

  • OBLIGACIÓN DE INFORMACIÓN (a los Titulares de los datos, en el momento de la recogida, sobre lo que pretende hacer la empresa con los mismos, con el fin de que los Ciudadanos puedan prestar libremente su consentimiento.)

  • OBLIGACIÓN DE AUTOLIMITACIÓN EN LA RECOGIDA DE LOS DATOS (sólo se deben recoger aquellos datos que sean adecuados, pertinentes y no excesivos en relación con la finalidad para los que son precisos. Las entidades, por tanto, deberán poder justificar ante la AEPD este extremo, por lo que no resulta oportuno obtener datos sin este criterio de racionalidad.)

  • OBLIGACIÓN DE GARANTIZAR LA SEGURIDAD DE LOS DATOS (para impedir cualquier alteración, pérdida, tratamiento o acceso no autorizado.)

  • OBLIGACIÓN DE CONSERVAR LOS DATOS SÓLO POR EL TIEMPO NECESARIO (las entidades deberán cancelar los datos cuando hayan cumplido con la finalidad para la que fueron recogidos.)

  • OBLIGACIÓN DE FACILITAR EL EJERCICIO DE SUS DERECHOS A LOS TITULARES DE LOS MISMOS (derecho de acceso, derecho de rectificación, derecho de cancelación y derecho de oposición que analizaremos posteriormente con más detalle.)

  • OBLIGACIÓN DE LA EXACTITUD EN LOS DATOS (el Responsable de su gestión y control debe mantenerlos actualizados con el fin de que respondan a la situación real de su Titular. Este incumplimiento es una de las causas que originan las sanciones más graves impuestas por la Agencia.)

  • OBLIGACIÓN DE RESPETAR LAS EXIGENCIAS LEGALES EN LOS DENOMINADOS DATOS SENSIBLES (determinados datos sensibles no pueden ser tratados ni almacenados en Ficheros. Existen excepciones a esta negativa que están muy tasadas por la norma y que requieren consentimiento expreso y por escrito del Titular de los datos. Se consideran datos sensibles los referidos a la salud, la vida sexual, el origen racial, la ideología, las creencias, la religión y la afiliación sindical.)

  • OBLIGACIÓN DE TRATAR LOS DATOS DE UNA MANERA LEAL Y LÍCITA (principio que no necesita comentarios.)
La Ley considera Responsable de un Fichero o Tratamiento al que decide sobre la finalidad, contenido y uso del Fichero o Tratamiento de datos personales. Puede ser por tanto, una persona física, una persona jurídica o un órgano administrativo. En nuestro caso, cada una de nuestras entidades será la Responsable de los ficheros creados para su uso interno.

Para los ficheros de información comunes, serán Responsables las Instituciones o empresas que los pongan en funcionamiento.

Ficheros sin consentimiento:

Nuestras entidades podrán crear ficheros o efectuar tratamientos de datos que figuren en fuentes públicas legales, siempre que su almacenamiento o tratamiento sean necesarios para sus intereses legítimos.

Este tipo de ficheros también pueden crearse por Terceros, como un servicio comercializable para clientes con interés legítimo en esta información.

Para este tipo de Ficheros también se exige la obligación de notificación a la AEPD, aunque no requieran el consentimiento de los titulares de los datos.

A modo de resumen voy a enumerar los casos en los que se pueden archivar y tratar datos:


  1. Cuando se tenga el consentimiento del Titular.

  2. Cuando una Ley habilite para hacer este tratamiento sin consentimiento.

  3. Cuando una administración pública los necesite para cumplir con las obligaciones de su competencia.

  4. Cuando sean necesarios para el mantenimiento o cumplimiento de una relación social, laboral, administrativa o de negocio.

  5. Cuando sean necesarios para proteger el interés vital del Titular o de un Tercero y haya una incapacidad para la obtención del consentimiento.

  6. Cuando procedan de fuentes accesibles al público y resulten necesarios para una finalidad lícita.
Los derechos de los Titulares

Anteriormente he enumerado las obligaciones que asume el Responsable de cualquier Fichero.

Seguidamente haré un glosario-recordatorio con la totalidad de los derechos que tienen los Titulares de los datos, que casan perfectamente con las obligaciones de los Responsables de los Ficheros y de los Cesionarios de los datos:

  • Derecho de Información: ya explicado al hablar de la Obligación. (Art. 5 de la LOPD)
  • Derecho de Consulta a la Agencia para conocer la existencia de los Ficheros y Tratamientos de Datos y para identificar a sus Responsables. Este derecho es la consecuencia de la obligación de notificación. El conocimiento de la existencia de los ficheros no sólo resulta necesario para el control de la AEPD, sino para facilitar el ejercicio de este derecho a los Titulares. (Art. 14 de la LOPD)
  • Derecho de Acceso de los Titulares al Responsable del Fichero para conocer si sus datos de carácter personal están en su Fichero, la naturaleza, origen, destinatarios y si se han producido transferencias internacionales de los mismos. Existen Ficheros que por disposición legal están excluidos de este derecho, como por ejemplo los ficheros que se creen para la prevención del blanqueo de capitales y de la financiación del terrorismo. (Art. 15 de la LOPD)
  •  Derecho de Rectificación, cuando el Titular, una vez ejercido el derecho de acceso, estima que cualquier dato incluido en el Fichero es erróneo. (Art. 16 de la LOPD)
  •  Derecho de Cancelación, en caso de que el Titular, una vez ejercido el derecho de acceso, estime alguna inexactitud o tratamiento ilegal. (Art. 16 de la LOPD)
  • Derecho de Oposición, o negativa a figurar en un fichero por motivo legítimo y fundado, o al tratamiento de sus datos personales. ( Art. 6.4, 17 y 30.4 de la LOPD)
  • Derecho a la Tutela por parte de la AEPD, para garantizar el ejercicio efectivo de los derechos anteriormente referenciados a los Titular de los datos. (Art. 18 de la LOPD)

Obligaciones de los Responsables de los Ficheros o Tratamientos, en relación con estos derechos

Respecto al Derecho de Información

Las entidades están obligadas a cumplir con este derecho en el momento de la recogida de los datos, informando a los Titulares, por cualquier medio que consideren adecuado, sobre los siguientes extremos:

  • La identificación del Fichero en el que serán depositados estos datos.
  • La identificación del Responsable de mismo.
  • La finalidad del Fichero.
  • Destinatarios de la información.
  • Si se va a dar algún tratamiento a los datos
  • El ofrecimiento del ejercicio de los derechos de acceso, rectificación, cancelación y oposición.
Si en la recogida de los datos se informase al Titular de que éstos podrán ser cedidos fuera de la entidad por algún motivo tasado, cuando se produzca la primera cesión de los mismos se le deberá informar de este hecho por quien corresponda (cedente o cesionario) y de la identidad del cesionario.

Respecto al Derecho de Consulta

Sólo indicar respecto a este Derecho, que está íntimamente relacionado con la Obligación de Notificación a la AEPD. La Notificación la hará el Responsable del Fichero en la forma establecida por la Agencia. No es objeto de este trabajo la forma en que los ciudadanos pueden ejercitar este Derecho.

Respecto al Derecho de Acceso

Cada entidad deberá tener montada la infraestructura necesaria para cumplir con el ejercicio de este Derecho, y utilizará para ello los medios que considere adecuados: escrito, copia, fotocopia, fax, consulta en pantalla, etc.

Sólo hay una exigencia: que el sistema de consulta que se establezca sea gratuito e inteligible para el Ciudadano.

La contestación del Responsable del Fichero al ejercicio de este derecho es obligatoria, y si no es inmediata por la utilización de procedimientos informáticos que así lo permitan, el plazo para la contestación será como máximo de un mes desde la fecha de recepción de la solicitud.

La contestación ha de hacerse, aún en el caso de que no existan datos en el Fichero. (Es importante cumplir con este extremo.)

Si la entidad no se quiere tener problemas con la Agencia, ha de poder acreditar de alguna forma que ha efectuado la contestación.

Este derecho puede ser ejercido cada doce meses. Si el solicitante acredita un interés legítimo, podrá ejercitarlo en un plazo inferior.

Este derecho puede ser ejercitado directamente por el Titular de los datos o por un Representante del mismo.

El ejercicio de este derecho por parte del Ciudadano o su Representante, está sometido a los siguientes requisitos formales:

  • Escrito o comunicación realizada a través de los medios electrónicos habilitados específicamente para esta finalidad por la entidad, que deberá estar firmado manual o electrónicamente, dependiendo del sistema habilitado por la empresa, o refrendado con las claves de acceso suministradas por la entidad para el ejercicio del derecho.
  • En el escrito o comunicación deberá quedar reflejada la fecha y el domicilio del Titular a efectos de la contestación que debe hacer el Responsable del Fichero.
  • Se deberá aportar fotocopia del DNI, Tarjeta de Extranjero o cualquier otro documento que acredite la identidad y sea admitido en derecho.
  • Si el ejercicio del derecho lo realiza un Representante del Titular, éste tendrá que añadir a los requisitos anteriores, la identificación del Representante, así como el documento que acredite la representación.
Respecto al Derecho de Rectificación

Con el mismo procedimiento habilitado por la entidad para el ejercicio del Derecho de acceso, el Titular de los datos o su Representante podrá ejercer el Derecho de Rectificación ante el Responsable del Fichero, para lo que deberá comunicarle el dato erróneo, así como la corrección que deba realizarse, acompañando la justificación de la rectificación solicitada.

El Responsable del Fichero tiene de plazo diez días naturales para atender la rectificación y además:

  • Contestará en este plazo, de forma motivada, a la solicitud de rectificación, aún cuando los datos a rectificar no figuren en el Fichero.
  • Deberá poder justificar también ante la Agencia que ha atendido el ejercicio de este Derecho.
  • En el caso de que los datos objeto de rectificación hubiesen sido cedidos a un Tercero, deberá notificar al cesionario la rectificación practicada.
Respecto al Derecho de Cancelación

Este Derecho se podrá ejercitar por el Titular de los datos, si considerara que los mismos han sido tratados ilegalmente o son inexactos o incompletos.

En la solicitud de cancelación, el Titular de los datos o su Representante, deberán exponer las razones para la cancelación y, en el caso en sean por datos erróneos o inexactos, deberán aportar la documentación justificativa de tal aseveración.

El Responsable del Fichero tiene de plazo diez días para atender el derecho de cancelación, que irá acompañado de las siguientes medidas:

  • Contestará de forma motivada a la solicitud de cancelación en el plazo indicado, aún cuando los datos a cancelar no figuren en el Fichero.
  • Si existen razones, bloqueará los datos impidiendo su utilización.
  •  A partir de ese momento seguirá conservando los datos por las responsabilidades que pudieran derivarse. Éstos sólo estarán disponibles para las Administraciones públicas, Jueces, Tribunales.
  • Este bloqueo y conservación durará hasta que termine el plazo sobre posibles responsabilidades.
  • Cumplido este plazo, se procederá a la supresión total de los datos.
  • Si los datos bloqueados o cancelados hubieran sido cedidos previamente a un tercero, se deberá notificar al cesionario del bloqueo y de la cancelación.
Excepciones al Derecho de Cancelación en los Ficheros privados:

  • Cuando exista el deber de conservación de los datos, éstos no podrán ser cancelados durante el plazo establecido en cada caso por la legislación aplicable.
  • Tampoco serán cancelados cuando la conservación sea necesaria para el cumplimiento de las obligaciones contractuales que vinculen a la empresa con el interesado y justifiquen el tratamiento de los datos.
  •  Igualmente no se procederá a la cancelación cuando pudiese causar perjuicios al propio Titular de los datos o a un tercero.

Respecto al Derecho de Oposición

Se podrá ejercitar este Derecho cuando exista un motivo legítimo y fundado referido a una situación personal concreta, y siempre que una Ley no lo impida.

La Oposición puede referirse:

  • A que los datos se incorporen en un Fichero.
  • A que los datos sean comunicados a terceros.
  • A las dos posibilidades anteriores.
Este Derecho ha de ejercitarse mediante un escrito, dirigido al Responsable del Fichero, en el que se haga constar el motivo fundado y legítimo referido a la situación concreta justificativa de la solicitud.

También se puede ejercitar este Derecho en el mismo momento de la recogida de la información, por lo que las entidades estarán muy pendientes de comprobar si el Titular de los datos ha señalado con una X su negativa a la cesión o comercialización de los datos, aún en el supuesto en que no quepa este Derecho respecto al Fichero de la empresa, porque exista una relación contractual que lo impida.

El Responsable del Fichero, desde la recepción de la petición, tiene de máximo un mes de plazo para resolver sobre el ejercicio del derecho. Si no contesta en ese plazo, el Titular de los datos considerará desestimado el ejercicio de su derecho y podrá presentar una reclamación ante la AEPD.

En el caso de que el ejercicio del derecho sea procedente, el Responsable del Fichero debe excluir del tratamiento, los datos objeto del Derecho de Oposición.


El ejercicio del Derecho de Oposición en los Ficheros de datos con fines publicitarios y de prospección comercial

Se podrá ejercitar este derecho con una simple solicitud dirigida al Responsable del Fichero, sin necesidad de justificación.

En este caso, el Responsable del Fichero deberá cancelar los datos en el momento de recibir la solicitud. También evitará tratarlos, si en la recogida el Titular ejerce este derecho poniendo alguna cruz en la ventanilla habilitada al efecto. Las entidades deberán tener mucho cuidado de no cometer el error de no controlar estos detalles que aparecen en la documentación en la que se solicita el consentimiento.


Respecto al Derecho de Tutela

Cuando un Ciudadano ejerza el derecho de Tutela ante la AEPD, el Responsable del Fichero se verá sometido a un expediente, si la Agencia estima procedente el ejercicio de este Derecho, que originará estos momentos procesales:

  • La AEPD dará traslado de la reclamación al Responsable del Fichero.
  •  Éste tienen 15 días para hacer las alegaciones oportunas.
  • La AEPD resolverá el Expediente en un plazo máximo de 6 meses, con traslado de la resolución a cada una de las Partes.
  • Al margen de este expediente derivado del ejercicio del derecho de Tutela, existe la posibilidad de que la Agencia inicie de oficio un procedimiento sancionador, cuando de la resolución que dicte se deriven indicios o pruebas razonables de infracción de la legislación de protección de datos, por parte de la empresa denunciada.
Establecidas estas generalidades de interés para nuestras empresas, en las siguientes píldoras iré tocando aspectos de interés que ayuden al cumplimiento de las obligaciones que asumen las empresas con los Ficheros de datos de carácter personal. Y nada mejor para este objetivo que aprender de los errores que se comenten y de las consecuencias económicas que originan los mismos.

Fabián Zambrano Viedma
Responsable del Servicio