Noticias JurídicasOrigen http://noticias.juridicas.com

Administrativo | Conocimiento
01/09/2007 04:00:00 | PROTECCIÓN DE DATOS

La estrecha relación entre Cesión de Datos Personales y la figura del Encargado del Tratamiento, en el ámbito de la normativa de Protección de Datos

Eleonora Carceroni Garbayo

Es latente que la ley de protección de datos resguarda los derechos fundamentales de los individuos según la constitución española. Una de las prácticas que más amenazan la seguridad de los datos ocurre principalmente cuando los datos son intercambiados entre el Responsable del Fichero y un tercero. Un mal uso de los datos por parte del tercero, además de violar la intimidad del afectado, involucra el encargado y exime el responsable del fichero ante a la atribución de cualquier responsabilidad.

Visando el resguardo de los datos, la legislación de protección de datos establece dos figuras específicas para el tratamiento de datos por cuenta de terceros. Serían estas: la Cesión de datos y el acceso a los datos por cuenta de terceros.

Muchas indagaciones surgen a partir de esto conceptos extremamente amplios que pueden generar una serie de interpretaciones. La frontera de los conceptos de cesión de datos y de la figura del encargado del tratamiento es muy difusa, y en la práctica causa muchas interpretaciones erróneas a cerca de cuando se realiza una cesión, o de cuando estamos delante de un acceso por cuenta de terceros.

Inicialmente en el artículo 3.i de la Ley Orgánica 15/1999 define cesión o comunicación de datos: “toda revelación de datos realizada a una persona distinta del interesado.” A partir de la interpretación de esto concepto, que es demasiado amplio, se puede creer que cualquier tipo de comunicación de dato a persona distinta del interesado se trata de una cesión propiamente dicha.

En el artículo 11 de la ley, se encuentran los dispositivos reguladores de la cesión de datos. Lo más importante en el tema de la cesión es obtener el consentimiento previo del afectado en las hipótesis exigidas por ley, y respetar el Principio de la Calidad de los Datos, que tiene como base fundamental el respecto a los criterios de pertinencia, adecuación y proporcionalidad de los datos

El acceso a los datos por cuenta de terceros, está regulado en el artículo 12 que destaca: “no considera comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento.” Lo que podemos extraer de este dispositivo es que los que prestadores de servicios, serán considerados como Encargados del Tratamiento. A contrario sensu, los que reciben los datos por parte de los responsables del tratamiento, pero no tienen el carácter de prestadores de servicio serán tratados como cesionarios de los datos.

A partir de esta diferenciación se puede establecer las reglas específicas para cada caso en concreto.

Los cesionarios deberán cumplir con los requisitos establecidos por la legislación para que la cesión se produzca de manera valida.

Uno de los principales requisitos adviene de la necesidad de recoger el consentimiento previo de los afectados. Y para que la cesión se produzca de manera eficaz los datos objeto de la cesión deben cumplir con la finalidad legitima del cedente y del cesionario, es decir la finalidad debe ser “justificable”. Con esto la norma visa impedir cesiones que huyan de las atribuciones específicas del cedente y del cesionario. Estos requisitos deben ser cumplidos cumulativamente.

El consentimiento previo a ser recogido por parte del afectado, es de gran importancia. Viene basado en el derecho fundamental asegurado constitucionalmente de la protección de la intimidad. A partir de este principio el afectado tiene la facultad de decidir sobre a disposición o no de sus datos.

El cesionario como no posee la relación de prestador de servicios frente al responsable del fichero, y por lo tanto no tiene ningún tipo de relación contractual vinculante con el mismo. El Responsable del fichero será la figura responsable por recabar el consentimiento previo de los afectados para realización de la cesión sin ninguna irregularidad.

La legislación establece distintas formas de otorgar el consentimiento.

La normativa establece como forma general de otorga de consentimiento el inequívoco.

Artículo 6. Consentimiento del afectado.

1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa.”

Sin embargo la normativa no enumera expresamente la forma que deberá ser otorgada. Una vez que el consentimiento inequívoco abarca distintos tipos de consentimiento ¿Será el consentimiento tácito, presunto (implícito) o expreso?

La doctrina amplia su entendimiento por consentimiento tácito, como aquel consentimiento no expreso, pero que se manifiesta una voluntad a través de algún acto que se haya realizado. Puede se decir también que el consentimiento tácito es aquel resultante de una inactividad o del silencio, o por la simple falta de oposición. Resulta que este tipo de consentimiento tiene un carácter probatorio muy escaso.

El consentimiento presunto o implícito, es aquel que deriva de nuestros propios actos, aunque no pronunciados de manera expresa. En este consentimiento se deduce por intermedio de la conducta que la persona otorga su consentimiento. La legislación de protección de datos es silente sobre este tipo de consentimiento.

La Agencia Española de Protección de Datos ya se ha pronunciado admitiendo el consentimiento tácito como regla general de otorga de consentimiento para datos no protegidos.

Ya en relación al consentimiento expreso, la ley enumera en el artículo 7.2 y 3 que la recogida de datos sensibles carecerán del consentimiento expreso, es decir por escrito por parte del afectado.

El hecho de necesitar del consentimiento expreso presupone un requisito adicional a la forma de otorga del consentimiento y solo deberá ser recogido cuando la ley expresamente así se manifieste.

La ley enumera también las excepciones a la otorga del consentimiento en el articulo 11.2 de la ley.

En relación al acceso por cuenta de terceros, su regulación se encuentra en el artículo 12 de la normativa.

En su artículo 12.1 la ley a priori delimita lo que no seria considerado una comunicación de datos, e impone la condición de prestador de servicio por encargo del responsable del tratamiento. Es importante destacar que el objeto precipuo de la prestación de servicios debe tener un fin lícito y legitimo.

Esta relación negocial deberá estar regulada por un contrato entre el prestador del servicio (que según la normativa figurará como encargado del tratamiento). El Encargado del tratamiento tendrá una consideración importante en relación a la conservación de los datos. El será responsable por respetar el principio de la calidad de los datos, es decir, los datos deberán ser tratados según los criterios de la racionalidad y de la proporcionalidad de los datos y presupone que haya una conexión con el ámbito y la finalidad para las que fueron recogidas.

La ley enumera que al finalizar la relación contractual entre el Responsable del tratamiento y el Encargado, los datos deberán ser destruidos o devueltos al responsable del tratamiento (articulo12.3 Ley Orgánica 15/1999).

Pero uno de los dispositivos más importantes y delimitadores de la responsabilidad del encargado del tratamiento se encuentra enumerado en el artículo 12.4 de la ley. Trata de la vulneración al contrato establecido entre las dos figuras que retratamos, es decir, en caso del encargado incumplir alguna estipulación establecida contractualmente, este se volverá responsable del tratamiento pudiendo incurrir en las sanciones y consecuentemente respondiendo personalmente por las mismas.

El afectado como figura principal de la normativa, además tiene asegurado el resarcimiento por los daños o lesiones sufridos por parte del incumplimiento de la normativa.

La Ley Orgánica 15/1999, en su artículo 19 retrata el Derecho a indemnización: “1. Los interesados que, como consecuencia del incumplimiento de lo dispuesto en la presente Ley por el responsable o el encargado del tratamiento, sufran daño o lesión en sus bienes o derechos tendrán derecho a ser indemnizados.

2. Cuando se trate de ficheros de titularidad pública, la responsabilidad se exigirá de acuerdo con la legislación reguladora del régimen de responsabilidad de las Administraciones públicas.

3. En el caso de los ficheros de titularidad privada, la acción se ejercitará ante los órganos de la jurisdicción ordinaria.”

El hecho de tener un encargado del tratamiento no supone que el responsable del tratamiento se exima del cumplimiento de las obligaciones de la ley. Sobre el responsable del tratamiento recaen todas las obligaciones impuestas por la legislación. Entretanto este dispositivo se traduce en un gran instrumento de seguridad frente a cualquier tipo de incumplimiento contractual por parte del encargado del tratamiento. A partir de ello la norma, el responsable tiene un robusto instrumento que asegura el tratamiento de sus datos y permite una exención de responsabilidad por parte del responsable del tratamiento en caso de mal uso de los datos por parte del Encargado.

Eleonora Carceroni Garbayo.
Consultora LOPD.
Megasyc www.megasyc.com
eleonora@megasyc.net



Te recomendamos

COLABORE CON NOTICIAS JURÍDICAS

Notícias Jurídicas está siempre abierta a las colaboraciones que los profesionales del Derecho, en cualquiera de sus modalidades, deseen dirigirnos.

Para ello ofrecemos la dirección electrónica nuestro formulario de contacto y les rogamos tengan en cuenta las siguientes condiciones de remisión de originales

Todos los autores aparecerán, junto con su curriculum y sus publicaciones, en nuestra sección Colaboraciones.

Actividad en Facebook