Protección de datos

Cómo presentar una denuncia ante la Agencia Española de Protección de Datos

Cuando se nos vulnera nuestro derecho fundamental a la protección de datos, podemos hacer dos cosas:

1.- Acudir a los tribunales en defensa de nuestro derecho e incluso solicitar una indemnización por los daños y perjuicios que se nos hayan causado.

2.- Presentar una denuncia frente a la Agencia Española de Protección de Datos, que es el organismo que sanciona a quien comete infracciones contra el derecho a la protección de datos.

Esta segunda opción que es la que vamos a tratar en el presente artículo, es más ágil y económico puesto que, presentar una denuncia frente a la Agencia Española de Protección de Datos no supone coste alguno, eso sí, debemos saber que el importe de la sanción que imponga la Agencia no es para nosotros, sino para la Agencia Española de Protección de Datos. Seguir leyendo

Delito contra la Protección de Datos (Habeas Data)

El derecho a la Protección de Datos, que es un derecho fundamental recogido en el artículo 18 de nuestra Constitución Española (norma suprema de nuestro ordenamiento jurídico) protege la intimidad y privacidad del ciudadano respecto al uso  y vulneración de sus datos personales (entendiéndose por dato personal cualquier dato que identifique o pueda identificar a una persona física concreta, por tanto, son también datos de carácter personal, por ejemplo, los vídeos y las fotografías).

La protección del derecho a la protección de los datos personales viene regulada, en vía civil y administrativa, por la Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Caracter Personal y por el Reglamento  que la desarrolla, el Real Decreto 1720/2007, de 21 de diciembre. Seguir leyendo

Proceso de cobro de deudas y deber de secreto

La postura de la Agencia Española de Protección de Datos respecto al deber de secreto ha sido siempre clara y ha sancionado a las entidades de cobro de deudas por utilizar mecanismos de reclamación de deudas, tales como, llamadas a familiares y amigos de sus clientes o incluso el envío de faxes al trabajo de deudor.

Considerando tales hábitos, como una infracción del artículo 10 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, que establece:

El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal estan obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.

No obstante, parece ser que la Audiencia Nacional no comparte la postura de la Agencia Española de Protección de Datos. Recientemente, esto es, el pasado día 14 de marzo de 2013, la Audiencia Nacional ha dictado una sentencia que anula una sanción impuesta por la Agencia Española de Protección de Datos a una conocida entidad de préstamos. Seguir leyendo

Auditoría de Protección de Datos: ¿Es obligatoria?

Las auditorías en materia de protección de datos son obligatorias cuando se recogen y tratan datos de nivel medio y/o alto.

Recordemos que, los datos de nivel medio son aquellos datos relativos a sanciones administrativas, penales, información de hacienda, etc. Mientras que, los datos de nivel alto son aquellos que hacen referencia a la salud, sexualidad, ideología, etc. del afectado.

¿Cuándo se tienen que hacer las auditorías de protección de datos?

Las auditorías de protección de datos deben hacerse cada dos años y, siempre que, cambien sustancialmente las circunstancias de recogida y tratamiento de los datos de manera que se haga necesaria una nueva adaptación de las medidas de seguridad.

Esta obligatoriedad viene regulada en el artículo 96 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. Seguir leyendo

Importantes novedades europeas en materia de protección de datos

Todo apunta a que, de aprobarse la última redacción del Reglamento Europeo en materia de Protección de Datos, las novedades en esta materia van a ser considerables.

El por ahora borrador del Reglamento Europeo, que será de aplicación directa para todos los estados miembros, pretende adaptar el derecho fundamental a la protección de datos de carácter personal a la sociedad de la información actual, recordemos que nuestra normativa estatal nace de la transposición de la Directiva 95/46/CE y, evidentemente, después de 18 años, se hace necesaria una reforma, aunque no contente a todos.

A modo de ejemplo, paso a exponer algunas de las novedades más llamativas o más relevantes del Reglamento Europeo:

1.- Hasta la fecha, nuestra legislación estatal permite que el consentimiento del afectado sea implícito y que se tenga por obtenido, salvo que, expresamente se indique lo contrario (típica casilla en la que se indica “marque esta casilla si no desea que sus datos sean tratados…”) pues bien, el Reglamento Europeo prevé (artículo 4), que el consentimiento sea explícito, por lo que, no tiene acogida el consentimiento implícito, aunque no dice que deba ser por escrito, y añade “mediante acción afirmativa”, lo que parece indicar que las casillas para recabar el consentimiento deberán ser siempre en sentido positivo y el interesado deberá marcarlas expresamente para que su consentimiento sea válido. Seguir leyendo

Medidas de Seguridad para la Protección de Datos de Carácter Personal

Cualquier pequeño o gran negocio trabaja con datos de carácter personal (los datos de sus trabajadores, clientes, proveedores, etc) y estos datos, que a simple vista pueden parecer poco importantes, en realidad son de gran importancia y deben ser protegidos. Así, y en contra de lo que comúnmente se cree, no solo deben cumplir con la normativa en materia de protección de datos las empresas que se dedican expresamente a recoger datos personales, sino que, cualquier empresa debe cumplir con la normativa y ésta es muy restrictiva.

¿Cómo debo proteger los datos?

Instaurando medidas de seguridad que eviten la pérdida de los datos o el acceso a estos por parte de terceros no autorizados.

No se trata de una recomendación, sino de una obligación legal, cuyo incumplimiento puede acarrear la imposición de elevadas sanciones por parte de la Agencia Española de Protección de Datos. Seguir leyendo

Infracciones e importe de las sanciones de la Agencia Española de Protección de Datos

Las sanciones de la Agencia Española de Protección de Datos son por todos conocidas por lo elevadas que suelen ser y es que, incumplir con la normativa en materia de protección de datos puede salir muy caro. Recordemos que el derecho a la protección de datos es un derecho fundamental y, por tanto, es un derecho muy protegido.

El importe de la sanción que imponga la Agencia Española de Protección de Datos, vendrá determinado en función del tipo de infracción que se haya cometido. Así, el artículo 44 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, clasifica las infracciones en tres tipos: leves, graves y muy graves. Seguir leyendo

Videovigilancia: Protección de datos

La regulación de la protección de los datos recogidos mediante cámaras de videovigilancia viene establecida en: La Ley Orgánica 15/1999, de 13 de diciembre de Protección de Datos de Carácter Personal y en la Instrucción 1/2006 de la Agencia Española de Protección de Datos.

Las bases sobre las que se fundamenta el derecho a la protección de datos son el consentimiento y la finalidad. Así, para cumplir con la legislación en esta materia es imprescindible obtener el consentimiento del afectado y establecer cuál es la finalidad para la que se recogen los datos.

No obstante, es evidente que si incorporamos cámaras de videovigilancia en establecimientos no podemos pedir el consentimiento a todas las personas que vayan a acceder al lugar, sería imposible. Por eso, en caso de que haya cámaras de videovigilancia en un establecimiento, se entiende que se obtiene el consentimiento del afectado si se le avisa, previamente, de que donde va a acceder hay cámaras de videovigilancia que le grabarán. Seguir leyendo

Protección de los datos de salud

Los datos relativos a la salud son datos especialmente protegidos por la normativa sobre protección de datos, especialmente, por la  Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante LOPD).

¿Qué es un dato de salud?

Las informaciones concernientes a la salud pasada, presente y futura, física o mental, de un individuo. Así, viene definido en el apartado 45 de la Memoria Explicativa del Convenio 108 del Consejo de Europa.

Hay que tener en cuenta que para que un dato de salud sea protegido por la normativa sobre protección de datos de carácter personal, precisa que ese dato de salud pueda asociarse a una persona física. Si no puede asociarse, no es de aplicación la normativa sobre protección de datos de carácter personal.

No obstante, y a modo de ejemplo, señalar que el número de la tarjeta sanitaria es dato de salud.

¿Cómo puedo recoger un dato de salud?

Para recoger cualquier dato relativo a la salud se precisa el consentimiento previo, informado y expreso del afectado, salvo que: se trate de dar asistencia a un paciente que acude a un centro médico (público o privado) para que le atiende un profesional sanitario sujeto al secreto profesional,. En este caso, se entiende que el paciente consiente el tratamiento de sus datos y no es preciso el consentimiento expreso, no obstante, se le deberá facilitar información respecto a qué se va a hacer con sus datos (Artículo 8 de la LOPD)

El consentimiento expreso puede ser verbal, pero siempre es mejor tenerlo por escrito, para poder probarlo.

¿Cómo deben protegerse los datos de salud?

Como hemos dicho anteriormente, los datos de salud son datos de carácter personal especialmente protegidos, por lo que, las medidas de seguridad que deberán adoptarse son las de nivel alto (artículos 101 y siguientes del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento que desarrolla la LOPD)

Cuando decimos que un dato de carácter personal debe ser protegido por medidas de seguridad de nivel alto, queremos decir, que deben ser protegidos por las medidas de seguridad de todos los niveles: básico, medio y alto ya que, las medidas de seguridad son acumulativas.

¿Un menor puede consentir el tratamiento de sus datos de salud?

Los menores pueden consentir el tratamiento de sus datos a partir de los 14 años si su madurez es suficiente como para entender qué implica su consentimiento al respecto.

En esto casos, para no tener problemas en materia de cumplimiento de la LOPD, lo ideal sería recabar el consentimiento tanto del menor como de su representante legal, pero legalmente es suficiente con el consentimiento del menor maduro y mayor de 14 años.

¿Puedo ejercer los derechos de acceso, rectificación, cancelación  y oposición (ARCO) de mis datos de salud?

Como cualquier otro dato de carácter personal, el afectado puede ejercer los derechos ARCO, siempre y cuando, lo haga él mismo o persona autorizada por él, junto a la fotocopia del DNI del afectado.

Hay que tener en cuenta que el paciente que ejerce el derecho de cancelación sobre sus datos de salud, no está haciendo que desaparezcan. Lo único que se hace es guardarlos en otro lugar al que solo pueden acceder personas autorizadas expresamente (esconderlos en otro lugar) ya que, legalmente, hay un  plazo de custodia respecto a los datos de salud, que será de 5 o 15 años dependiendo de los datos que aparezcan en el historial clínico del paciente, por lo que, el centro sanitario no puede destruirlos hasta pasado el plazo de custodia establecido legalmente.

Por último, señalar que las sanciones que impone la Agencia Española de Protección de Datos, sobre el incumplimiento de la protección de los datos de salud, son muy elevadas ya que, se trata de información sensible.

La implantación de “Cookies” en relación a la protección de datos

Las Cookies son sistemas temporales de almacenamiento de información que permiten a un sitio web guardar y recoger datos de los usuarios a través del ordenador del propio usuario. No tienen por que ser datos relativos al nombre y dirección de la persona o usuario, sino que, mas bien, está enfocado a la recogida de datos relativos a las preferencias de ese usuario.

Entre otras funciones, las denominadas Cookies pueden ser utilizadas para crear un perfil del usuario a través de su navegación y así, poder mostrarle publicidad a medida en otras sitios webs.

La normativa que permite este tipo de sistemas viene recogida en:

Seguir leyendo