Las dos obligaciones que expondremos a lo largo de este Cap?tulo son aplicables al tratamiento de informaci?n cuando esta, sea considerada como a dato de car?cter personal. Es por ello que para que dichas obligaciones sean aplicables, primeramente deberemos analizar si se cumplen los requisitos detallados en el Cap?tulo 1 para entender que efectivamente, nos encontramos ante un dato de car?cter personal.
Adicionalmente, deben cumplirse otros dos requisitos a los descritos en el Cap?tulo 1, para que la LOPD sea aplicable, as? como las obligaciones establecidas en este Cap?tulo:
Los datos personales deben quedar archivados en un fichero. La definici?n de fichero establecida en la normativa en vigor es ?Todo conjunto organizado de datos de car?cter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su creaci?n, almacenamiento, organizaci?n y acceso?. Esta definici?n puede encontrarse en los art?culos 3 b) LOPD y 5.1.k) RLOPD (la parte subrayada corresponde la modificaci?n introducida por el Reglamento).
Para poder decir por tanto, que nos encontramos ante un fichero, seg?n lo establecido en la legislaci?n vigente, ser? necesario que los datos sean organizados de tal forma, automatizadamente o no, que sea posible su ulterior tratamiento; en otras palabras los datos deben ser ordenados o estructurados de tal forma, para que estos puedan ser tratados. Un ?nico dato o un conjunto de los mismos sin cumplir dichos requisitos de ordenaci?n y estructura, no podr?a ser considerado como fichero resultando no aplicable, en este supuesto, la LOPD y dem?s normativa de desarrollo.
En relaci?n al concepto de fichero, resulta interesante el reciente Informe Jur?dico 279/2009 de la AEPD, donde se indican los criterios que deber?n seguirse para considerar que un grupo de datos, es o no un fichero. As? en relaci?n a los ficheros en soporte papel, la AEPD resuelve que ?la ordenaci?n de los documentos por fecha no constituye un fichero, al no estar ?ste estructurado conforme a criterios relativos a las personas f?sicas, y siempre que impida acceder a los datos personales incorporados en los documentos exija esfuerzos desproporcionados a los datos personales?. De dicho razonamiento se desprende que para que un conjunto de datos en soporte papel pueda ser considerado como fichero, ser? necesario que dichos datos se agrupen en funci?n de criterios basados en las personas f?sicas (por ejemplo orden alfab?tico), de forma que su localizaci?n y acceso, no exija esfuerzos desproporcionados. En este mismo informe, la AEPD y en relaci?n a los datos archivados en soportes inform?ticos, resuelve que ?el archivo de documentos en un sistema inform?tico lleva impl?cita una organizaci?n, as? todo sistema inform?tico permite hacer b?squedas de documentos, lo que en definitiva convierte a la carpeta en la que se incorporen los documentos como fichero, dado que se cumple con los criterios de la definici?n, se permite el acceso a los documentos con independencia de la forma o modalidad de su creaci?n, organizaci?n, almacenamiento y acceso?.
Los datos personales, adem?s, deben ser objeto de tratamiento. La definici?n de tratamiento consiste en ?cualquier operaci?n o procedimiento t?cnico, sea o no automatizado, que permita la recogida, grabaci?n, conservaci?n, elaboraci?n, modificaci?n, consulta, utilizaci?n, cancelaci?n, bloqueo o supresi?n, as? como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.? Para encontrar dicha definici?n debemos ir al art?culo 3 c) LOPD y 5.1. t) RLOPD (de nuevo en subrayado incluimos las modificaciones del Reglamento).
El concepto de tratamiento pues, incluye pr?cticamente cualquier uso que pueda hacerse de los datos personales, una vez estos han sido incorporados en un fichero. Resulta extra?o imaginar un supuesto en que la incorporaci?n de un dato en un fichero, no implique su tratamiento (ya que en este concepto se incluye, por ejemplo, la mera conservaci?n o grabaci?n de un dato), pero lo cierto es que la LOPD distingue ambos conceptos. A pesar de ello, fichero y tratamiento van en la pr?ctica, normalmente unidos, pudiendo afirmar que el fichero es el soporte f?sico donde se incorporan los datos y el tratamiento es la operaci?n realizada con esos datos. Tal es la casi imposibilidad de distinguir entre fichero y tratamiento que el anteriormente citado Informe 279/2009, establece ?En este sentido, si se produce un tratamiento de datos con informaci?n concerniente a personas f?sicas identificadas e identificables, que seg?n se desprende del contenido de la consulta, parece que efect?a la consultante, con independencia de si se crea o no un fichero, s? resulta de aplicaci?n las previsiones de la Ley Org?nica 15/1999 y su Reglamento de desarrollo aprobado por el Real Decreto 1720/2007, de 21 de diciembre.? A pesar de esta previsi?n, resulta dif?cilmente imaginable como un tratamiento, puede ser llevado a cabo sin incorporar los datos en un soporte f?sico.
En cualquier caso y m?s all? de estas discusiones y definiciones te?ricas, ni en el caso de los ficheros ni en del tratamiento, la aplicaci?n o no de la LOPD no depender? de si el fichero o el tratamiento se produce en soporte no inform?tico (papel), ya que la LOPD no prev? diferencias en este sentido: en ambos casos ser?a aplicable la normativa vigente.
Por tanto y recogiendo el esp?ritu y la literalidad del texto de la LOPD (art. 2.1), la misma ?ser? de aplicaci?n a los datos de car?cter personal registrados en soporte f?sico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores p?blico y privado?.
1. Notificaci?n de ficheros ante la AEPD
1.1 Registro General de Protecci?n de Datos.
El Registro General de Protecci?n de Datos (en adelante, ?RGPD?), est? regulado en el art?culo 39 de la LOPD, como un ?rgano integrado dentro de la organizaci?n de la Agencia Espa?ola de Protecci?n de Datos. De todas formas, la primera referencia al RGPD en la LOPD se encuentra antes en su art?culo 14 donde se establece que, entre los derechos de los ciudadanos, se encuentra el de consultar al Registro: ?Cualquier persona podr? conocer, recabando a tal fin la informaci?n oportuna del Registro General de Protecci?n de Datos, la existencia de tratamientos de datos de car?cter personal, sus finalidades y la identidad del responsable del tratamiento. El Registro General ser? de consulta p?blica y gratuita?. De hecho la consulta del RGPD puede realizarse desde la propia p?gina web de la AEPD haciendo posible que cualquier ciudadano conozca los organismos p?blicos, empresariales u otros que han comunicado el tratamiento de datos personales. La posibilidad de consulta al RGPD resulta una condici?n y requisito indispensable para que los ciudadanos puedan ejercer otros derechos reconocidos por la LOPD y que iremos viendo a lo largo de la obra.
Ante el RGPD ser?n objeto de inscripci?n:
a) Los ficheros de que sean titulares las Administraciones p?blicas.
b) Los ficheros de titularidad privada.
c) Las autorizaciones a que se refiere la presente Ley.
d) Los c?digos tipo a que se refiere el art?culo 32 de la presente Ley.
e) Los datos relativos a los ficheros que sean necesarios para el ejercicio de los derechos de informaci?n, acceso, rectificaci?n, cancelaci?n y oposici?n.?
En este punto nos interesa comentar el punto b. Para conocer qu? debe entenderse por ficheros de titularidad privada debemos irnos a las definiciones establecidas en el art?culo 5.1.l) del RLOPD que establece que ?los ficheros de los que sean responsables las personas, empresas o entidades de derecho privado, con independencia de quien ostente la titularidad de su capital o de la procedencia de sus recursos econ?micos, as? como los ficheros de los que sean responsables las corporaciones de derecho p?blico, en cuanto dichos ficheros no se encuentren estrictamente vinculados al ejercicio de potestades de derecho p?blico que a las mismas atribuye su normativa espec?fica.?
La AEPD ha discutido en algunas ocasiones los criterios a seguir para determinar la naturaleza p?blica o privada de un fichero, concluyendo que deber? prevalecer la naturaleza p?blica o privada del responsable del fichero o el tratamiento, y no la actividad que efectivamente lleve a cabo dicho responsable.
Consultar Informe Jur?dico 2000-2001
La competencia para la inscripci?n de ficheros de titularidad privada corresponder? a la AEPD. Resulta importante destacar este punto ya que la LOPD prev? en su art?culo 41, que ciertas de las competencias atribuidas a la AEPD ser?n ejercidas por ?rganos equivalentes en las Comunidades Aut?nomas, cuando se trate de ficheros de datos de car?cter personal ?creados o gestionados por las Comunidades Aut?nomas y por la Administraci?n Local de su ?mbito territorial, por los ?rganos correspondientes de cada Comunidad?. Esta previsi?n conlleva que cada Comunidad Aut?noma podr? crear agencias auton?micas con competencias, entre otras, en la inscripci?n de los ficheros de titularidad p?blica creados por la propia Comunidad Aut?noma, la Administraci?n Local y otros organismos p?blicos dentro de cada Comunidad Aut?noma. Actualmente disponen de agencia de protecci?n de datos las Comunidades de Madrid, Catalu?a y Euskadi.
A modo de resumen, cualquier entidad privada (entre las que podemos incluir las sociedades mercantiles y civiles), que adem?s disponga de informaci?n que cumpla los requisitos necesarios para ser considerada como dato personal y que la archive en ficheros y para proceder a su tratamiento, deber? completar la inscripci?n de dichos ficheros ante el RGPD.
1.2. Procedimiento de notificaci?n de ficheros.
En la actualidad, y despu?s de haber pasado por casi todas las fases tecnol?gicas posibles, es posible notificar los ficheros ante el RGPD, a trav?s de la p?gina web de la AEPD mediante el sistema NOTA, siempre que se disponga de una firma electr?nica reconocida. Esta circunstancia facilita enormemente el cumplimiento de esta obligaci?n, ya que adem?s de la facilidad del medio (evitando faxes e impresi?n de documentos, como anta?o) el programa dispone de notificaciones predefinidas para facilitar la tarea a los responsables de ficheros (seg?n el mandato del art?culo 59.3 RLOPD). A pesar de esto, cuando se utilicen notificaciones predefinidas es muy recomendable revisar cada notificaci?n antes de su env?o para evitar errores. Cabe decir que el uso del programa NOTA no es la ?nica forma para notificar ficheros, puede seguir haci?ndose en papel, siempre que se utilicen los modelos publicados por la AEPD.
Ver informaci?n adicional sobre el fichero NOTA
El RLOPD ha desarrollado el mandato del art?culo 26.2 LOPD en relaci?n a la obligaci?n de notificaci?n de ficheros (arts. 55 a 64) y al procedimiento a seguir (art. 130 a 136). Los actos sujetos a notificaci?n ante el RGPD son: la creaci?n, la modificaci?n y la cancelaci?n de un fichero. Resulta importante comentar aqu? que la notificaci?n de estos actos debe ser un paso previo a la realizaci?n de los mismos; as? el procedimiento correcto en el caso de querer crear un fichero con datos personales ser?a:
Proceder a la notificaci?n de creaci?n, modificaci?n o supresi?n del fichero ante el RGPD.
Proceder a la creaci?n, modificaci?n o supresi?n efectiva del fichero.
En cada notificaci?n deber? incluirse, al menos, la siguiente informaci?n (art. 55.2 RLOPD):
Identificaci?n del responsable del fichero,
la identificaci?n del fichero,
sus finalidades y los usos previstos,
el sistema de tratamiento empleado en su organizaci?n,
el colectivo de personas sobre el que se obtienen los datos,
el procedimiento y procedencia de los datos,
las categor?as de datos,
el servicio o unidad de acceso,
la indicaci?n del nivel de medidas de seguridad b?sico, medio o alto exigible,
en su caso, la identificaci?n del encargado del tratamiento en donde se encuentre ubicado el fichero y
los destinatarios de cesiones y transferencias internacionales de datos.
La facilitaci?n de la informaci?n requerida de forma completa, se logra de modo sencillo siguiendo los pasos previstos en el formulario NOTA o en los modelos o formularios en papel facilitados por la AEPD. La ventaja del formulario NOTA en este sentido, en relaci?n a los otros tipos de formatos de declaraci?n de ficheros, consiste en la imposibilidad t?cnica de env?o de la notificaci?n a menos que todos sus apartados no se hayan completado correctamente.
El RLOPD establece la obligaci?n que la notificaci?n se encuentre actualizada en todo momento, as? ser? objeto de notificaci?n, como hemos comentado, cualquier modificaci?n que afecte a las categor?as recientemente mencionadas, as? como la supresi?n definitiva de un fichero. La introducci?n de nuevos datos de personas f?sicas en un fichero, en ning?n caso supone la necesidad de declarar la modificaci?n de ese fichero al RLOPD. En el momento de alta de un fichero, la AEPD le otorga un c?digo de inscripci?n ?nico (art?culo 60.2 RLOPD), que facilita los tr?mites de modificaci?n y cancelaci?n posteriores. Adicionalmente, es necesario se?alar que tanto el alta como la baja definitiva de un fichero, est?n sujetas a la resoluci?n del Director de la AEPD. As? mismo, en el caso de detectar errores, el Director podr? dictar, de forma motivada, una resoluci?n que indique la improcedencia o denegaci?n de la inscripci?n se?alando un plazo para subsanar dicho error. Por ?ltimo el plazo m?ximo para dictar la inscripci?n de la creaci?n, modificaci?n y supresi?n del fichero, es de un mes desde que se haya enviado la solicitud; en el caso de no haber tenido respuesta en este tiempo, la solicitud de creaci?n, modificaci?n o cancelaci?n deber? entenderse como aceptada a todos los efectos.
1.3 Ficheros l?gicos vs ficheros f?sicos.
El concepto de fichero que debe utilizarse al momento de plantearnos su inscripci?n ante el RGPD, es un concepto l?gico del mismo, no f?sico. La realidad de las empresas implica en muchas ocasiones que un mismo tipo de datos (por ejemplo, de los clientes), se encuentre almacenado en distintas bases de datos informatizadas (en diferentes aplicaciones) e incluso, al mismo tiempo, en soportes en papel; no solamente eso sino que ciertos datos de los clientes (por ejemplo los emails), pueden estar en una aplicaci?n particular para llevar a cabo un tratamiento concreto (por ejemplo el env?o de una News Letter). Al momento de realizar la inscripci?n de ese fichero de clientes al RGPD es necesario agrupar (de forma abstracta) esos distintos ficheros (f?sicos), en un solo fichero (l?gico) en funci?n del tipo de datos que estamos tratando (clientes) y las finalidades para los que son usados (por ejemplo, mantener la relaci?n con el cliente e informarle de novedades comerciales). As? lo que corresponder?a en nuestro ejemplo ser?a una sola notificaci?n de clientes indicando que el tratamiento es en soporte inform?tico y papel y enumerando (en una sola notificaci?n) las finalidades que se prev?n para el tratamiento de esos datos.
1.4. Casos particulares.
Para finalizar con el deber de inscripci?n de ficheros ante el RGPD, comentamos dos casos concretos que se recogen en el RLOPD y que son fruto de ciertas dudas que se hab?an planteado a la AEPD con anterioridad a la aprobaci?n del Reglamento.
Soporte del fichero (art?culo 56 RLOPD).
La declaraci?n del fichero es independiente del tipo de suporte utilizado para su tratamiento. As? un fichero tratado exclusivamente en soporte papel, ser? objeto de notificaci?n ante el RLOPD. De la misma forma en el caso que un fichero sea tratado en soporte papel e inform?tico (supuesto bastante com?n), ?nicamente deber? realizarse una notificaci?n, indicando que el soporte de tratamiento del fichero incluye ambas posibilidades.
- M?ltiples responsables del fichero (art?culo 57 RLOPD).
M?s adelante en esta obra veremos la posibilidad que un fichero disponga de distintos responsables; en el caso que esto ocurra, el RLOPD obliga a que cada uno de ellos realice su notificaci?n, de forma independiente, al RGPD. Por tanto en el caso que una organizaci?n prevea el tratamiento de unos datos ubicados en un fichero ya inscrito en el RGPD, esta circunstancia no le exime de proceder, a su vez, a una nueva inscripci?n.
1.5. Incumplimiento del deber de inscripci?n: infracciones y sanciones.
La LOPD incluye en los art?culos 44 y siguientes, las normas relativas a infracciones a la normativa y las sanciones o multas, en su caso, aplicables. En este mismo art?culo se hace referencia en dos ocasiones a la infracci?n que supone la no inscripci?n de un fichero ante el RGPD, cuando ello sea preceptivo seg?n las normas ya comentadas. As? se prev?:
Ser? una infracci?n leve, la no inscripci?n de un fichero ante el RGPD, cuando ello sea preceptivo seg?n la normativa vigente. El articulo 45 LOPD prev? para este tipo de infracciones, multas de 600 a 60.000 ?.
Ser? considerada como infracci?n grave la no inscripci?n de un fichero, cuando esta hubiera sido requerida por el Director de la AEPD. Las multas previstas para las infracciones consideradas como graves, van de 60.001 a 300.000 ?.
2. Deberes de seguridad y secreto en el tratamiento de datos.
Nos centramos en este punto en el segundo de los requisitos b?sicos a cumplir por parte de quienes traten datos personales: el deber de secreto y de seguridad en el tratamiento de los datos. Estas dos materias resultan de una importancia central en relaci?n al debido respeto al derecho a la protecci?n de datos personales, pues a?n en el supuesto que el tratamiento de los mismos haya sido consentido por su titular, resulta evidente que dicho tratamiento, deber? realizarse bajo unas condiciones que aseguren que el uso de los datos no ir? m?s all? del consentido, evitando el acceso a los mismos a terceros no autorizados. A este nivel, incluso el Tribunal Constitucional ha declarado que el uso o el tratamiento de datos, con el consentimiento del afectado pero sin adoptar las debidas medidas de seguridad, resulta un hecho igualmente grave, como los actos consistentes en tratamientos de datos sin el cumplimiento de los requisitos necesarios.
As? de la lectura de los art?culos 9 y 10 de la LOPD se desprenden dos de las obligaciones b?sicas que deber?n tener en cuenta las entidades que traten datos personales:
Art?culo 9: deber de seguridad en el tratamiento de datos personales.
Art?culo 10: deber de secreto en relaci?n al tratamiento de datos personales.
2.1. Deber de secreto.
En relaci?n al deber de secreto, este se prev? tanto para el responsable del fichero, como para quienes intervengan en cualquier fase del tratamiento de datos y dicho deber va m?s all? del momento en que hubieran finalizado las relaciones con dicho responsable del fichero. As? los sujetos obligados a guardar secreto de los datos que conozcan en ejercicio de sus funciones son:
Responsable del fichero o del tratamiento: ?persona f?sica o jur?dica, de naturaleza p?blica o privada, u ?rgano administrativo, que s?lo o conjuntamente con otros decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente?. (art?culos 3 d) LOPD y 5.1.q) RLOPD, subrayado las modificaciones incluidas por este ?ltimo texto).
El Responsable del fichero o del tratamiento, es la figura sobre la que recaen la mayor?a de las obligaciones impuestas por la normativa de protecci?n de datos (por ejemplo, la de secreto o seguridad de los datos). Las figuras del responsable del fichero y del tratamiento normalmente son coincidentes, aunque no siempre, as? ser? responsable del fichero la persona f?sica o jur?dica titular del mismo (qui?n lo haya creado) y ser? considerado responsable del tratamiento qui?n formalmente decida sobre las finalidades, contenido y usos del mismo.
Personal laboral del responsable del fichero o del tratamiento. As? cualquier persona contratada por un responsable de un fichero o del tratamiento para llevar a cabo una obligaci?n laboral que implique el tratamiento de datos personales, estar? obligada por el deber de secreto. A estos efectos resulta muy recomendable que los responsables de ficheros den a conocer a sus empleados, las obligaciones que estos tienen en relaci?n al tratamiento de los datos a los que acceden por su puesto de trabajo. En este sentido como veremos en el apartado del procedimiento sancionador, resulta importante destacar que la AGPD no tiene competencias para imponer sanciones a los trabajadores que incumplan el deber de secreto (con independencia de las infracciones civiles o penales que dichos actos puedan ocasionar), por lo que es muy importante que el responsable del fichero o tratamiento, traslade a su personal las obligaciones que le incumben en materia de secreto y seguridad de los datos, de forma que pueda demostrar que ha prestado la diligencia necesaria a los efectos de dar a conocer a quien acceda a datos, sus obligaciones en relaci?n al tratamiento de dichos datos.
Encargados del tratamiento: ?la persona f?sica o jur?dica, [autoridad] p?blica o privada, [servicio o cualquier otro organismo] u ?rgano administrativo que, s?lo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relaci?n jur?dica que le vincula con el mismo y delimita el ?mbito de su actuaci?n para la prestaci?n de un servicio. Podr?n ser tambi?n encargados del tratamiento los entes sin personalidad jur?dica que act?en en el tr?fico como sujetos diferenciados.?. (art?culos 3 g) LOPD y 5.1 i) RLOPD, subrayado las modificaciones incluidas por el Reglamento y entre corchetes las excluidas por este mismo texto).
El Encargado del tratamiento, por tanto, tambi?n es una figura sujeta al deber de secreto y de seguridad (como veremos posteriormente). Para que un sujeto pueda considerarse como encargado del tratamiento de unos datos determinados, deben cumplirse una serie de requisitos:
El principal requisito es que el encargado del tratamiento act?a por cuenta del responsable del fichero o del tratamiento, esto significa que le est? prestando un servicio que implica al acceso a datos personales archivados en ficheros titularidad del responsable del fichero o del tratamiento. En el caso de darse este encargo a un tercero en el tratamiento de datos, no estaremos ante una cesi?n o comunicaci?n de los mismos, puesto que quien conoce los datos (el encargado del tratamiento), no los utiliza para un fin propio, sino en el marco de una prestaci?n de servicios para el responsable del fichero o el tratamiento.
Esta prestaci?n de servicios debe quedar regulada en un contrato (escrito o en alguna otra forma que permita acreditarse su celebraci?n) entre las partes, donde se incluya, al menos:
Que el encargado del tratamiento ?nicamente tratar? los datos para prestar un servicio al responsable del fichero o el tratamiento.
Que incluya las medidas de seguridad que aplicar? el encargado del tratamiento en el tratamiento de los datos.
Que el encargado del tratamiento ?nicamente tratar? los datos seg?n las instrucciones del responsable del fichero o el tratamiento y no los utilizar? o aplicar?, bajo ning?n concepto, para fines distintos.
Que el encargado del tratamiento devolver? al responsable del fichero o el tratamiento o los destruir?, en el momento que deje de prestar el servicio.
El cumplimiento de todos estos requisitos implica que a pesar que exista un tercero (el encargado del tratamiento) que accede a datos personales del responsable del fichero, no ser?a necesario aplicar los requisitos relativos a la comunicaci?n de datos a terceros: especialmente el consentimiento del afectado. M?s adelante en esta obra (Cap?tulo 6) trataremos con mayor profundidad los aspectos relativos a la comunicaci?n o cesi?n de datos.
Por ?ltimo es necesario se?alar que el hecho que el responsable de un fichero encomiende a un tercero un tratamiento concreto de datos, no le exime de responsabilidad, pues con la redacci?n del art?culo 20.2 del RLOPD el responsable del fichero ?deber? velar por que el encargado del tratamiento re?na las garant?as para el cumplimiento de lo dispuesto en este reglamento.?
Consultar Informe Jur?dico 457/2008
2.2. Deber de secreto: infracciones y sanciones
Con anterioridad a tratar las diferentes infracciones y sanciones previstas para el deber de secreto, analizaremos brevemente los criterios de responsabilidad establecidos por la LOPD que son aplicables a todas las infracciones y sanciones all? previstas y que iremos comentando debidamente, a lo largo de la obra.El primero de los criterios que queremos comentar en este punto, es que la AEPD, seg?n el art?culo 43 de la LOPD, ?nicamente podr? aplicar el procedimiento sancionador previsto en la misma a ?responsables de fichero y encargados del tratamiento?. A esta previsi?n podemos a?adir, como se ha comentado anteriormente, los responsables del tratamiento. As? cualquiera de las infracciones comentadas en este Cap?tulo o a lo largo de la obra, ?nicamente podr? ser sancionada por la AEPD, si la comete un responsable de un fichero o tratamiento o un encargado del tratamiento.
La segunda consideraci?n previa que quer?amos hacer en materia de responsabilidad es que a pesar que el RLOPD dispone de un procedimiento sancionador propio de la AEPD, en lo no previsto, se remite a la Ley 30/1992, de 26 de noviembre de R?gimen Jur?dico de las Administraciones P?blicas y del Procedimiento Administrativo Com?n. Esta ley establece en relaci?n a los principios de la potestad sancionadora (T?tulo IX, Cap?tulo I), que el ejercicio de la misma tendr? lugar incluso cuando la infracci?n haya sido ocasionada por una simple inobservancia de las normas administrativas, lo que implica que la AEPD, a los efectos de determinar el incumplimiento de la LOPD no fija sus razonamientos en si el responsable de dicho incumplimiento actu? de forma dolosa o no, sino que simplemente entra a valorar la existencia o no de los hechos y a si estos son contrarios a la LOPD. Por tanto quien vulnere la LOPD no podr? alegar a los efectos de reducir o eximir su responsabilidad que actu? de forma inconsciente o por una imprudencia (sin intencionalidad), la existencia del hecho constitutivo de infracci?n implicar? la sanci?n, con independencia de los aspectos exclusivamente subjetivos.
Hechas estas consideraciones previas, los art?culos relativos a infracciones y sanciones de la LOPD, establecen tres graduaciones distintas en la vulneraci?n del deber de secreto, en funci?n del tipo de datos sobre los que no se respeta esta obligaci?n:
Incumplimiento del deber de secreto en relaci?n a cualquier tipo de dato personal: infracci?n leve; multa de 600 a 60.000 ?.
Incumplimiento del deber de secreto en relaci?n a datos personales relativos a la comisi?n de infracciones administrativas o penales, Hacienda P?blica, servicios financieros, prestaci?n de servicios de solvencia patrimonial y cr?dito, as? como aquellos otros ficheros que contengan un conjunto de datos de car?cter personal suficientes para obtener una evaluaci?n de la personalidad del individuo: infracci?n grave, multa de 60.001 a 300.000 ?.
Incumplimiento del deber de secreto en relaci?n a datos personales recabados con fines policiales sin el consentimiento del afectado o de datos relativos a la ideolog?a, afiliaci?n sindical, religi?n, creencias, origen racial, salud o vida sexual de las personas: infracci?n muy grave, multa de 300.001 a 600.000 ?.
2.3. Deber de seguridad.
En sus dos primeros puntos, el art?culo 9 de la LOPD dispone que:
?1. El responsable del fichero, y, en su caso, el encargado del tratamiento deber?n adoptar las medidas de ?ndole t?cnica y organizativas necesarias que garanticen la seguridad de los datos de car?cter personal y eviten su alteraci?n, p?rdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnolog?a, la naturaleza de los datos almacenados y los riesgos a que est?n expuestos, ya provengan de la acci?n humana o del medio f?sico o natural.
2. No se registrar?n datos de car?cter personal en ficheros que no re?nan las condiciones que se determinen por v?a reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.?
La obligaci?n incluida en el art?culo 9 de la LOPD impone a cualquier entidad que intervenga en el tratamiento de datos personales, la obligaci?n de establecer una serie de medidas de seguridad, t?cnicas y organizativas, para evitar los usos no autorizados de datos personales. As? esta obligaci?n ser? aplicable, principalmente, a:
Responsables de los ficheros y el tratamiento (ver apartado 3.1.1).
Encargados del tratamiento (ver apartado 3.1.1)..
Subencargados del tratamiento. Introducimos aqu? un concepto que ser? tratado con mayor profundidad en el Cap?tulo n?6. En cualquier caso el subencargado del tratamiento es una figura que la realidad mercantil ha impuesto que fuera introducida en el RLOPD y consiste en aquella entidad a la que el encargado de un tratamiento concreto, subcontrata para la realizaci?n de la totalidad o parte de dicho tratamiento. Como se ha dicho esta figura, ser? tratada m?s adelante y en concreto los requisitos necesarios para que esta subcontrataci?n de servicios se encuentre dentro de la normativa vigente; en este punto ?nicamente se?alar que este subencargado del tratamiento, est? plenamente sometido al deber de seguridad en el tratamiento de los datos personales que en virtud de sus labores, conozca.
2.3.1 Niveles de seguridad
Vistos los sujetos obligados por el deber de seguridad, nos centraremos en este punto en determinar cu?les son los niveles de seguridad establecidos por la normativa vigente. Efectivamente el legislador entiende que existen distintos niveles de protecci?n exigibles en relaci?n a los datos personales, pues el uso no consentido de los mismos puede suponer un mayor o menor perjuicio a su titular, en funci?n de la informaci?n que se desprenda de dicho dato personal. Este es un ejemplo m?s, como apunt?bamos en el Cap?tulo 1 que la normativa de protecci?n de datos no protege ?nicamente los datos ?ntimos, sino cualquier tipo de dato. As? cualquier dato, por muy conocido o p?blico que sea, debe ser objeto de medidas de protecci?n cuando sea tratado por una entidad sujeta a las normas vigentes.
As? el RLOPD establece los niveles de seguridad b?sico, medio y alto, que variar?n en funci?n del tipo de datos incluidos en cada fichero:
Cualquier fichero con datos de car?cter personal, deber? aplicar las medidas de seguridad de tipo b?sico que a continuaci?n comentaremos.
Adem?s, deber?n aplicar medidas de nivel medio, los ficheros que incluyan:
Datos relativos a la comisi?n de infracciones administrativas o penales.
Datos relativos a la solvencia patrimonial y cr?dito.
Datos incluidos en ficheros de la Administraci?n tributaria.
Datos incluidos en ficheros de entidades financieras.
Datos incluidos en ficheros responsabilidad de las Entidades Gestoras y Servicios Comunes de la Seguridad Social.
Datos tratados por mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social.
Datos que ofrezcan una definici?n de las caracter?sticas o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos.
Por ?ltimo, deber?n aplicar las medidas de nivel alto, aquellos ficheros que incluyan:
Datos de ideolog?a, afiliaci?n sindical, religi?n, creencias, origen racial, salud o vida sexual.
Datos recabados con fines policiales sin el consentimiento del afectado.
Datos derivados de actos de violencia de g?nero.
2.3.2 Niveles de seguridad aplicables en acciones de marketing
Como se ha visto, la LOPD y el RLOPD, como no pod?a ser de otra forma, prev?n medidas de seguridad para cualquier tipo de datos que pueda ser tratado sobre una persona. El objetivo de esta obra, sin embargo, es centrarnos en las acciones promocionales o de marketing, por lo que en este punto trataremos de ajustar la explicaci?n de las medidas de seguridad a aplicar, al tipo de datos que suelen tratarse en el marco de dichas acciones de marketing. As? resulta indudable que el uso de cualquier informaci?n de contacto de una persona f?sica (como hemos visto en el Cap?tulo 1), siempre que dicha informaci?n sea considerada un dato personal, implicar? la necesidad de aplicar las medidas de nivel b?sico que a continuaci?n veremos. Entrar?an en este supuesto, por ejemplo, el tratamiento de datos como el tel?fono, el fax, el correo electr?nico, la direcci?n postal o cualquier otro medio que pueda ser utilizado para enviar un mensaje publicitario individualizado a una persona f?sica.
A pesar que los datos personales tratados en las acciones de marketing actuales parecen no sobrepasar a priori el nivel de informaci?n descrito en el anterior p?rrafo, no podemos olvidarnos de analizar el ?ltimo tipo de fichero que debe aplicar medidas de nivel medio ?Datos que ofrezcan una definici?n de las caracter?sticas o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos?. Pues bien como hemos comentado en la introducci?n de esta obra, el marketing pretende ir conociendo a trav?s de acciones concretas a sus destinatarios, por lo que no resulta descartable que la recopilaci?n de cierto grado de informaci?n sobre una persona, permita definir o evaluar determinados aspectos de su personalidad o de su comportamiento. Esta circunstancia, a veces, no resulta ?nicamente de la recopilaci?n de una gran cantidad de datos de una persona, sino que puede darse simplemente conociendo ciertos datos de dicha persona (por ejemplo, sus h?bitos de lectura o los canales de pago a los que est? suscrito). En todo caso ser? necesario analizar la posibilidad de aplicar esta circunstancia, caso por caso, atendiendo, en caso de duda, a favorecer el inter?s del afectado, aplicando las medidas de nivel medio.
2.3.3 Aplicaci?n de los niveles de seguridad
El RLOPD establece una importante novedad en relaci?n a la aplicaci?n de los niveles de seguridad, pues incluye medidas de seguridad concretas para los ficheros tratados en soporte papel, resolviendo una incongruencia que existi? hasta su entrada en vigor. Esto fue as? pues el Reglamento de Medidas de Seguridad 994/1999 (derogado por el vigente RLOPD) ?nicamente desarrollaba las medidas de seguridad aplicables a soportes inform?ticos, en virtud del mandato de la tambi?n derogada Ley Org?nica de Protecci?n de Datos 5/1992 (que s?lo regulaba el tratamiento automatizado de datos). Debido a que la actual LOPD afecta a todos los ficheros, con independencia de su soporte, era necesario el desarrollo reglamentario de medidas de seguridad concretas, para el soporte en papel.
2.3.4 Cuadro explicativo de las medidas de seguridad
A continuaci?n incluimos dos tablas con las medidas de seguridad b?sicas previstas para los niveles b?sico y medio; la primera de las tablas trata de las medidas a aplicar en ficheros informatizados, la segunda en ficheros en papel. Las medidas de seguridad son acumulativas de forma que las de nivel medio, incluyen las de nivel b?sico.
Ficheros informatizados:
NIVEL B?SICO |
NIVEL MEDIO |
Documento de seguridad (art. 89 RLOPD) Las medidas de seguridad establecidas en esta tabla, deber?n ser recogidas de forma expresa en un Documento de Seguridad, que deber? ser implementado y actualizado de forma peri?dica y que incluir?, al menos: -Definici?n de los recursos protegidos. (equipos, soportes y programas de tratamiento de datos). -Medidas aplicadas para garantizar el nivel de seguridad exigible. -Funciones y obligaciones del personal. -Estructura de los ficheros y descripci?n de los sistemas de informaci?n. -Procedimiento de gesti?n de incidencias. -Procedimiento de copias de seguridad. -Medidas de transporte y destrucci?n de documentos y soportes. |
Documento de seguridad (art. 89.4 RLOPD) Al contenido del Documento de Seguridad para el nivel b?sico, deber? a?adirse: -Identificaci?n de responsable de seguridad. -Controles peri?dicos de verificaci?n del cumplimiento del Documento de Seguridad.
|
Definici?n de las obligaciones del personal con acceso a datos (art. 89 RLOPD): -Identificaci?n de los perfiles y los usuarios de acceso a los sistemas de informaci?n. -Deber de informar al personal de sus obligaciones. |
|
Registro de incidencias (art. 90 RLOPD): -Procedimiento de notificaci?n y gesti?n de incidencias que afecten a datos personales. -Registro de incidencias, incluyendo, tipo de incidencia, momento en que se produjo o detectado, persona que la notifica y que la registra, efectos que produjo y medidas correctoras aplicadas. |
Registro de incidencias (art. 100 RLOPD): -Incluir los procedimientos realizados de recuperaci?n de datos, junto con qui?n llev? a cabo la recuperaci?n, los datos restaurados y si ha sido necesario grabar datos manualmente durante la recuperaci?n de datos. |
Control de accesos (art. 91 RLOPD): -Listado actualizado del personal con acceso a datos, definiendo los perfiles de acceso a los mismos, en funci?n de las obligaciones laborales a desempe?ar. |
|
Gesti?n de soportes y documentos (art. 92 RLOPD): -Identificaci?n e inventario de soportes que archiven datos personales. -Autorizaci?n para la salida de soportes. -Medidas de protecci?n en el caso de traslado de soportes o documentaci?n. -Medidas de destrucci?n efectivas de soportes y documentaci?n. |
Gesti?n de soportes y documentos (art. 97 RLOPD): -Registro de entrada y salidas de soportes. |
Identificaci?n y autenticaci?n (art. 93 RLOPD): -Activaci?n de sistemas que permitan la identificaci?n y autenticaci?n de usuarios con acceso al sistema, de forma inequ?voca y personalizada. -En el caso que dicho sistema sea a trav?s de contrase?as, estas deber?n caducar, al menos, cada a?o. |
Identificaci?n y autenticaci?n (art. 98 RLOPD): -Activaci?n de un sistema que limite la posibilidad de intentar de forma reiterada los accesos no autorizados al sistema (bloqueo de cuentas). |
Copias de respaldo y recuperaci?n de datos (art. 94 RLOPD): -Realizaci?n de copias de seguridad o de respaldo de los datos personales, al menos, semanalmente. -Comprobaci?n, al menos, cada seis meses, del correcto funcionamiento del sistema de copias de seguridad. |
|
|
Responsable de seguridad (art. 95 RLOPD): -Designaci?n de uno o varios responsables de seguridad, encargados de coordinar y controlar el cumplimiento de las medidas de seguridad exigibles. -En ning?n caso esta designaci?n supone una exoneraci?n de responsabilidad del responsable del fichero o el encargado del tratamiento. |
|
Auditor?a bianual (art. 96 RLOPD): -Auditor?a externa o interna, cada dos a?os, de los sistemas de informaci?n e instalaciones de tratamiento y almacenamiento de datos personales. -Auditor?a extraordinaria siempre que se realicen modificaciones sustanciales en los sistemas de informaci?n. -Contenido de la auditor?a: dictaminar la adecuaci?n de los sistemas de informaci?n e instalaciones a la normativa en vigor, identificar deficiencias y proponer medidas correctoras. Incluir datos, hechos y observaciones as? como los dict?menes y recomendaciones alcanzadas. -El responsable de seguridad analizar? el informe de auditor?a, elevando las conclusiones al responsable del fichero o tratamiento para que adopte las medidas correctoras propuestas y queden a disposici?n de la AEPD. |
|
Control de acceso f?sico (art. 99 RLOPD): -?nicamente el personal autorizado en el Documento de Seguridad podr? tener acceso f?sico a los locales donde se hallen los equipos f?sicos que den soporte a los sistemas de informaci?n (sala de servidores). |
Ficheros no informatizados:
NIVEL B?SICO |
NIVEL MEDIO |
Documento de Seguridad (art. 105 RLOPD) Es igualmente aplicable lo establecido en relaci?n a la finalidad y al contenido del Documento de Seguridad para los ficheros informatizados (ver en la tabla anterior). |
|
Funciones y obligaciones del personal (art. 105 RLOPD) Resulta de aplicaci?n lo establecido para los ficheros informatizados (ver en la tabla anterior). |
|
Control de accesos (art. 105 RLOPD) Resulta de aplicaci?n lo establecido para los ficheros informatizados (ver en la tabla anterior). |
|
Gesti?n de soportes (art. 105 RLOPD) Resulta de aplicaci?n lo establecido para los ficheros informatizados, con las particularidades previstas para el nivel medio (ver en la tabla anterior). |
|
Criterios de archivo (art. 106 RLOPD) El archivo de los documentos en papel, deber? garantizar su correcta conservaci?n, localizaci?n y consulta, as? como posibilitar el ejercicio de los derechos por parte de los afectados. |
|
Dispositivos de almacenamiento (art. 107 RLOPD) Los dispositivos de archivo de datos deber?n contar con mecanismos que obstaculicen su apertura (llaves) de forma que se impida el acceso a personas no autorizadas. |
|
Custodia de soportes (art. 108 RLOPD) Cuando la documentaci?n no est? en los dispositivos se?alados en el anterior punto, la persona que se encuentre a su cargo deber? custodiarla impidiendo su acceso al personal no autorizado. |
|
|
Responsable de seguridad (art. 109 RLOPD) Se designar?n uno o varios responsables de seguridad. |
|
Auditor?a (art. 110 RLOPD) Los ficheros se someter?n a una auditor?a bianual que confirme el cumplimiento de los requisitos de seguridad. |
2.4 Deber de seguridad: infracciones y sanciones
La infracci?n del deber de seguridad impuesto por la LOPD ha sido sancionado tanto por la AEPD como por los tribunales a trav?s de dos de las infracciones previstas como graves (sanci?n de 60.001 a 300.000 ?):
La primera posibilidad es la de aplicar el art?culo 44.3 d) de la LOPD donde se establece que constituye una infracci?n grave ?Tratar los datos de car?cter personal o usarlos posteriormente con conculcaci?n de los principios y garant?as establecidos en la presente Ley o con incumplimiento de los preceptos de protecci?n que impongan las disposiciones reglamentarias de desarrollo (?)?. Mediante la aplicaci?n de este art?culo se ha sancionado de forma gen?rica el incumplimiento del deber de seguridad del art?culo 9 LOPD, en tanto a principio de protecci?n de datos.
Jurisprudencia de la Audiencia Nacional relacionada:
SAN Secci?n 1? de 26 de abril de 2002: Incumplimiento de medidas de seguridad que ocasiona que una persona siga recibiendo publicidad habiendo manifestado su negativa.
SAN Secci?n 1? de 11 de febrero de 2004: Mantener un fichero sin las debidas medidas de seguridad.
SAN Secci?n 1? de 25 de enero de 2006. Hallazgo en v?a p?blica de documentos en papel con datos de car?cter personal.
La segunda de las posibilidades se encuentra en el art?culo 44.3 h) donde de forma m?s concreta se dispone que ser? considerada una infracci?n grave ?Mantener los ficheros, locales, programas o equipos que contengan datos de car?cter personal sin las debidas condiciones de seguridad que por v?a reglamentaria se determinen.? Esta previsi?n por tanto, cubrir?a cualquier incumplimiento de las medidas de seguridad establecidas en el RLOPD con independencia de si se trata de medidas de nivel b?sico, medio o alto.
Jurisprudencia de la Audiencia Nacional relacionada:
SAN Secci?n 1? de 30 de junio de 2004: Incumplimiento del deber de realizaci?n de la auditor?a bianual.
SAN Secci?n 1? de 27 de abril de 2005: Incumplimiento de las medidas de registro de soportes y registro de incidencias.
V?ctor Rosell? Mallol.
Abogado. Especialista en Protecci?n de Datos.