el tres

Page 1

Curso LOPD

1


Tema 3 3. MOVIMIENTO DE DATOS. Consentimiento previo y excepciones 1. Aspectos generales Como ya se ha comentado al desarrollar el principio de calidad de los datos, los datos personales no pueden emplearse para finalidades incompatibles con aquellas para aquellas para las que hubieran sido recabados, pero sí pueden emplearse para muchas actividades compatibles. Surge, de este modo, la denominada “comunicación o cesión de datos a terceros”, así como el “movimiento internacional de datos” Una actividad muy habitual entre las empresas hoy en día consiste en enviar grandes cantidades de datos a terceros, ya sea para: -Cumplir con obligaciones de tipo legal, como para que las empresas filiales reporten su estado a la empresa principal. -Externalizar diferentes servicios (asesoría laboral o contable, gestión de recursos humanos, marketing, servicios informáticos, etc.). Esta externalización también denominada Outsourcing, es una práctica cada día más frecuente, que permite a las empresas centrarse en la actividad principal y contar con servicios secundarios, disminuyendo de esta manera los costes de naturaleza económica y organizativa. Las mencionadas actividades conllevan, por tanto, un movimiento de datos fuera de la empresa responsable de los mismos. En el caso de que la información que se remita contenga datos de carácter personal, habrá que cumplir con las disposiciones de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, más conocida como LOPD. Dependiendo del movimiento de datos personales que la empresa desee llevar a cabo habrá que cumplir con unos u otros requisitos, por lo que, a continuación, se describirá de la forma más clara posible los distintos tipos de flujos de datos que la LOPD contempla, así como los requisitos que habría que adoptar en cada caso.

Curso LOPD

2


En concreto, la LOPD regula tres tipos de movimientos de datos, por lo que será necesario desgranar las diferencias fundamentales entre los mismos. Estos movimientos son: - Cesión o comunicación de datos - Acceso a datos por cuenta de terceros - Movimiento internacional de datos En relación a los mismos, para que se comprenda adecuadamente la diferencia entre dichos movimientos, habrá que comenzar definiendo lo que la LOPD entiende por tratamiento, que se define como "el conjunto de operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias". Esto quiere decir que, por ejemplo, si una empresa contrata a una gestoría la gestión de nóminas del personal, a una empresa de marketing para efectuar acciones publicitarias, o solicitase el alojamiento de su intranet, bases de datos, página Web, en los servidores de un tercero, existirá tratamiento y, por lo tanto, le será de aplicación la LOPD en estos movimientos de datos. En la mayor parte de los servicios de externalización de datos, se encuentra la necesidad de tratar ficheros de datos de carácter personal e información confidencial titularidad de la empresa que externaliza los servicios. La LOPD establece que en estos supuestos existe un acceso a datos por cuenta de terceros, en el que intervienen fundamentalmente dos figuras: el responsable del fichero (empresa que contrata y titular del mismo) y el encargado del tratamiento (empresa contratada). Llegados a este punto, es necesario definir legalmente el concepto de responsable del tratamiento y de encargado del tratamiento. La LOPD los define como:

Curso LOPD

3


Definiciones de puestos:

Titular responsable del fichero

Encargado del tratamiento

“Toda persona física o jurídica, de naturaleza pública o privada u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento”

“ La persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que sólo o conjuntamente con todos, trate de personales por cuenta del Responsable del Tratamiento”

La relación jurídica que se establece entre ambos, en el caso del acceso a datos por cuenta de terceros (externalización de servicios), es normalmente una prestación de servicios y, como tal, deberá estar regulada en un contrato, que comprenda además el contenido del artículo 12 de la LOPD, que comentaremos con más detalle en el punto 3 de este modulo. La justificación del tratamiento que el tercero (encargado del tratamiento) hace de los datos, que ha de ser un tratamiento compatible, viene dada por el hecho de que el acceso a la información de carácter personal es necesario para la prestación de un servicio al responsable del tratamiento. Esta última cuestión es realmente significativa, pues constituye la principal nota diferenciadora entre el acceso de datos por cuenta de terceros y la cesión-comunicación de datos a terceros, dos figuras que habitualmente suelen confundirse, pero que cuentan con regímenes jurídicos diferentes. Sin embargo, las diferencias entre la cesión y el acceso a terceros no son sólo importantes en relación a las formalidades jurídicas a adoptar, sino también lo son en relación al régimen sancionador aplicable.

Curso LOPD

4


Según lo comentado, en el caso de la cesión o comunicaci6n de datos, el tercero cesionario que trata los datos lo hace con una finalidad propia y no para prestar un servicio a favor del responsable del fichero. Esta comunicación de datos acontece en cualquier flujo de datos que se lleve a cabo par imperativo legal, como por ejemplo, la cesión de datos a la Agenda Tributaria, a la Mutua que actúa como el servicio de Prevención de Riesgos Laborales, etc. También se incluyen las comunicaciones de datos que se producen entre empresas pertenecientes a un mismo grupo, los flujos de datos entre la empresa principal y las empresas filiales, etc. Par el contrario, como ya hemos mencionado, se dice que existe acceso a los datos por cuenta de terceros cuando se produzca una externalización de servicios u outsourcing

Los artículos 11 y 12 de la LOPD se encuentran dirigidos a regular las condiciones específicas de utilización de datos personales por terceros, bien por cesión o acceso. Otro tipo de movimiento de datos, que es tratado específicamente en los artículos 33 y 34 de la LOPD, es el relativo al movimiento internacional de datos, el cual como norma general está prohibido a países que no proporcionen el nivel de protección equiparable al que presta la LOPD. Los citados artículos se desarrollan con más detenimiento en los siguientes apartados (2, 3 y 4) de este módulo.

2. La comunicación de datos a terceros El artículo 11 de la LOPD, con el título “Comunicación de Datos”, impone, con carácter general, la obligación de informar-recabar el consentimiento del afectado de la indicada comunicación. En el apartado 1 del citado artículo se dice, en concreto, lo que sigue “Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo de consentimiento del interesado”

Curso LOPD

5


Vamos a desglosar este artículo. Para ello es fundamental recurrir al concepto de tratamiento. La LOPD entiende por tratamiento el conjunto de "operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias". Vemos que la comunicación o cesión de datos a terceros se considera un tratamiento y, por tanto, le es de aplicación la LOPD. Llegados a este punto es importante explicar en qué consiste la comunicación o cesión de datos. En la comunicación el tercero cesionario (encargado del fichero) que trata los datos, lo hace con una finalidad propia y no para prestar un servicio a favor del cedente (responsable del fichero), ya que de existir esa prestación de servicio al responsable del fichero hablaríamos de acceso de los datos por cuenta de terceros y no de comunicación. Es decir, la cesión o comunicación de datos comprende toda revelación de los mismos realizada a una persona distinta del interesado. Según el artículo 11 los datos solo pueden ser cedidos a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado. Según el apartado 1 del artículo 27 de la LOPD (relativo a los ficheros de titularidad privada) el responsable del fichero deberá informar de la comunicación de datos a terceros a los interesados, indicando a su vez los siguientes aspectos: - La finalidad del fichero - La naturaleza de los datos que han sido cedidos -El nombre y dirección del cesionario Sin embargo en el apartado 2 de ese mismo artículo 27, se establece que no se estará obligado a "Informar" al interesado en los siguientes casos: - Cuando la cesión está autorizada en una Ley

Curso LOPD

6


- Cuando el tratamiento responda a la libre y legítima aceptaci6n de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación solo será legítima en cuanto se limite a la finalidad que la justifique. - Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. - Cuando la cesión se produzca entre Administraciones Públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos. - En el caso de que el tratamiento de datos personales se realice mediante un proceso de disociación (que no puedan asociarse los datos al interesado). - En relación al consentimiento del interesado, la empresa no estará obligada a "recabar el consentimiento" del afectado para la comunicación de los datos personales en los siguientes casos indicados en el artículo; cuando la comunicación tenga por objeto el tratamiento posterior de datos con fines históricos, estadísticos o científicos". Para llevar a cabo esta comunicación, como ya se citó, no es preciso recabar el consentimiento del afectado. También se establece que podrán ser objeto de comunicación entre administraciones públicas los datos de carácter personal que una administración pública obtenga o elabore con destino a otra administración, sin necesidad de recabar el consentimiento del afectado. En el caso de que los datos sean obtenidos de fuentes de acceso público, la comunicación de estos datos no podrá comunicarse sino con el consentimiento del interesado o cuando una ley prevea otra cosa.

3. El acceso a los datos por cuenta de terceros Los datos que se comunican al responsable de un fichero son para el uso de ese res ponsable y no de terceros, es por ello por lo que los terceros no pueden tener acceso legítimo a los datos, si no concurren las circunstancias que prevé la LOPD en su artículo 12.

Curso LOPD

7


El artículo 12 se ocupa específicamente del acceso a los datos por parte de un tercero cuando el mismo sea necesario para la prestación de un servicio al responsable del fichero. Tal supuesto queda excluido el ámbito de aplicación del anterior artículo (11), al establecer que este acceso no tendrá la consideración de comunicación (por ejemplo, se incluiría en este epígrafe el servicio de mantenimiento llevado a cabo por una empresa contratada al equipo informático del responsable del fichero). De este régimen merece destacar la siguiente información: La obligación legal, consistente en que la realización de tratamientos por cuenta de terceros deba estar regulada con la suscripción de un contrato por escrito, u otra forma que permita acreditar su celebración y contenido. Hay que mencionar que es más conveniente la adopción de la forma escrita, ya que permite una mayor facilidad probatoria ante el incumplimiento por parte del encargado de sus obligaciones, dejando la comunicación verbal unilateral entre las partes como solución provisional a la espera de que se suscriba definitivamente el contrato escrito. - Dicho contrato deberá incluir, entre otras, las siguientes menciones: • Indicación de que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del fichero. • La finalidad del contrato y que los datos no serán utilizados o aplicados con un fin distinto al indicado. Esta obligación es lógica, pues la justificación del acceso reside en la necesidad para prestar un servicio, por tanto, una finalidad concreta y no otra. • Las medidas de seguridad que el encargado del tratamiento está obligado a implementar. Esta es la principal obligación con la que se encuentran los encargados del tratamiento, pues deben adoptar en su sistema de información unas medidas de seguridad que dependen del nivel de sensibilidad de la información titularidad de su cliente. Sin embargo, cabe mencionar que no es necesario enumerar las citadas medidas de seguridad en el contrato, baste con indicar el nivel de seguridad exigido (besico, medio o alto). En el caso de que el nivel a adoptar sea el alto, es importante hacer mención a la obligación de implantar un nivel de seguridad alto, ya que este nivel requiere no solo la aplicación de medidas de seguridad de índole organizativa, sino de medidas técnicas cuyos costes son muy superiores a las de nivel besico y medio. Incluso, se puede incluir en el contrato que el hecho de adoptar el nivel de seguridad

Curso LOPD

8


alto podre suponer una renegociación del mismo con el objeto de que repercuta en el responsable del fichero parte del coste relativo a la adopción de medidas de nivel alto. - No podrán comunicarse los datos, ni siquiera para su conservación, a otra persona. Es decir, el cesionario no podre permitir al acceso a la información por terceros (como puede ocurrir en la subcontratación). - Se establece la obligación de destruir o devolver at responsable del fichero los soportes o documentos en que consten datos de carácter personal. Es decir, una vez cumplida la prestación contractual, los datos de carácter personal que obtenga el tercero deben ser destruidos o devueltos al responsable del fichero (al igual que los soportes o documentos en los que consten). -El incumplimiento de cualquier obligación o estipulación del contrato (como el empleo de los datos a otra finalidad), dará lugar a que el encargado del tratamiento sea considerado, a los efectos de la ley, como responsable del tratamiento del fichero, respondiendo de las infracciones en que hubiera incurrido personalmente. Aunque es una obligación legal, es conveniente la introducción de esta cláusula en el contrato para añadir la obligación contractual. En resumen, cuando se traten por una empresa ficheros de datos de carácter personal, es de aplicación la LOPD y, por tanto, hay que tener en cuenta las obligaciones y responsabilidades establecidas en la misma. Además vemos que para proteger la información confidencial de la empresa, cuando se produce un acceso por cuenta de terceros, es necesario firmar un contrato de prestación de servicios e incluir en él referencias al deber de confidencialidad y secreto. Para ello se puede incluir alguna cláusula, bien en el contrato principal o bien en un contrato adicional o anexo al contrato principal. Un problema actual relacionado con el acceso de datos por cuenta de terceros es el de la subcontratación, ya que cada vez es más frecuente la colaboración entre diversos entes y personas en la prestación de servicios. Por tanto cuando para la prestación del servicio por parte del subcontratista requiera el acceso a la información de carácter personal del contratante (encargado), que trata información por cuenta de un tercero (responsable), surge el problema de la imposibilidad del encargado para comunicar los datos a los subcontratistas (terceros) establecida en el citado artículo 12 de la LOPD

Curso LOPD

9


En este sentido, tras el análisis de la Memoria de la Agencia Española de Protección de Datos (en adelante AEPD) del año 2000, pueden extraerse los siguientes requisitos de subcontratación: Que el responsable del tratamiento sea parte en la relación jurídica que regule la subcontratación, por ejemplo, mediante la determinación de los servicios a subcontratar en el contrato a firmar entre el responsable del tratamiento y el encargado del tratamiento. - Que el responsable del tratamiento disponga las instrucciones mediante las cuales el subcontratista tratara los datos. - Que en el contrato originario se establezcan las medidas de seguridad a adoptar por el subcontratista.

4. Movimiento internacional de datos A medida que la globalización avanza e Internet facilita el camino, la transmisión de datos de carácter personal aumenta y, por tanto, las empresas deben ser conscientes de que los datos de carácter personal se deben proteger. Hoy en día, uno de los valores más importantes con los que cuenta una empresa es la información, es tan importante que muchas de ellas se dedican exclusivamente a la recopilación de la misma, creando ficheros y bases de datos. Un ejemplo de ello lo tenemos en las empresas de marketing, para ellas los datos de carácter personal son muy valiosos, ya que les permiten identificar y personalizar al consumidor y ofrecerle así los productos y servicios más adecuados a sus necesidades. Las nuevas tecnologías y la firme voluntad de crear una economía globalizada conllevan un incremento de las transacciones mundiales, ello supone que también los datos cada vez tienen más movilidad y, por lo tanto, se incrementa notablemente el nivel de riegos de pérdida o manipulación de dicha información. Dada su importancia, la transferencia internacional de datos se regula de forma específica en el capitulo V de la LOPD, en concreto, en los artículos 33 y 34 A su vez, la transferencia internacional de datos es tratada de en el Real Decreto 1332/1994 de desarrollo de la LORTAD y, de forma concreta, en la Instrucción 1/2000 de la AEPD.

Curso LOPD

10


Según la mencionada instrucción, se considera transferencia internacional de datos "toda transmisión de los mismos fuera del territorio español. En particular, se consideran como tales las que constituyan una cesión o comunicación de datos y las que tengan por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero". La LOPD establece como norma general que no podrán realizarse transferencias temporales ni definitivas de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento con destino a países que no proporcionen el nivel de protección que presta la LOPD. Existen dos órdenes por las que se declaran los Estados que ofrecen un nivel de protección de datos equiparable al establecido en la legislación española, en concreto la Orden del Ministerio de 2 de febrero de 1995, y por extensión la Orden de 31 de julio de 1998, por la que se ampliaba la relación contenida en la primera, las cuales han sido derogadas por la LOPD que atribuye en exclusiva a la AEPD la potestad de resolver sobre la materia. La adecuación del nivel de protección que ofrece el país de destino lo evaluará la AEPD atendiendo a: - La naturaleza de los datos. - La finalidad. - La duración del tratamiento o de los tratamientos previstos. - El país de origen y el país de destino. - Las normas de derecho vigentes en el país tercero de que se trate. -El contenido de los informes de la Comisión de la Unión Europea, así como las normas profesionales y las medidas de seguridad en vigor en dichos países. La transferencia de datos a países que no tengan el nivel de seguridad exigible está prohibida, salvo que lo autorice el Director de la AEPD.

Curso LOPD

11


Sin embargo, la transferencia internacional de datos no se ciñe a lo anteriormente expuesto en los siguientes casos:

Cuando la transferencia internacional de datos de carácter personal resulte de la aplicación de tratados o convenios en los que sea parte España.

Cuando la transferencia se haga a efectos de prestar ó solicitar auxilio judicial internacional.

Cuando la transferencia sea necesaria para la prevención o para diagnósticos médicos, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios.

Cuando se refiera a transferencias dinerarias conforme a su legislación específica.

Cuando el afectado haya dado su consentimiento inequívoco a la transferencia

Curso LOPD

12


prevista. - Cuando la transferencia sea necesaria para la ejecución de un contrato entre el afectado. y el responsables del fichero o para la adopción de medidas precontractuales adoptadas a petición del afectado.

-Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público.

-Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.

-Cuando la solicitud de transferencia se efectúe, a petición de persona con interés legitimo, desde un Registro público y aquella sea acorde con la finalidad del mismo.

Curso LOPD

13


-Cuando la transferencia tenga como destino un Estado miembro de la Unión Europea, o un Estado respecto del cual la Comisión de Comunidades Europeas, en el ejercicio de sus competencias, haya declarado que garantiza un nivel de protección adecuado.

Además de lo indicado en el título V de la LOPD, al respecto, la Agencia Española de Protección de Datos ha procedido a dictar la ya mencionada Instrucción 1/2000, de 1 de diciembre, sobre regulación de los movimientos internacionales de datos personales, que ha permitido en gran medida esclarecer y facilitar la actuación de los responsables de los ficheros en el ámbito del movimiento internacional de datos, cuestión que desde la aprobación de la derogada Ley Orgánica 5/1992 (LORTAD) ha suscitado un gran número de dudas por parte de los responsables de los ficheros. El motivo de estas dudas probablemente se encuentre en el hecho de que las normas reguladoras en esta materia contenidas en la Ley y sus normas de desarrollo hayan debido adaptarse a:

Las incluidas en los artículos 25 y 26 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

Así como las decisiones que en cumplimiento de los citados preceptos se adopten por la Comisión de las Comunidades Europeas

Curso LOPD

14


En esta instrucción de la AEPD (el artículo 37 de la LOPD) consagra la competencia de la Agencia de Protección de Datos para “dictar, en su caso y sin perjuicio de las competencias de otros órganos, las instrucciones precisas para adecuar los tratamientos a los principios de la presente Ley” se accede al conocimiento de los criterios de actuación de la AEPD ante este tipo de transferencias, ofreciéndose concretas instrucciones para la realización de tales movimientos (sirve como modelo) Por tanto, no es finalidad de esta Instrucción efectuar innovación alguna dentro de la normativa reguladora de la protección de datos de carácter personal sino simplemente, aclarar y facilitar a todo los interesados en un único texto, el procedimiento seguido por la Agencia para dar cumplimiento a las previsiones contenidas en la diversidad de las normas que se refieren al movimiento internacional de datos.

¡FIN DEL TEMA 3!

Curso LOPD

15


Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.