Escolar Documentos
Profissional Documentos
Cultura Documentos
Sanidad Pblica
Tema 2: Derechos de las personas
en materia de proteccin de datos
con
especial
relevancia
en
los
ficheros del SAS.
Introduccin
Creacin y Notificacin de Ficheros
El Responsable del Fichero
El Encargado del Tratamiento
Tipos de Ficheros
Los Cdigos Tipo
Los Ficheros de Titularidad Pblica
Derechos ARCO
Objetivos:
Reconocer cmo se realiza la notificacin para la inscripcin de
la creacin, modificacin o supresin de ficheros.
Identificar las particularidades de la creacin de los ficheros de
titularidad pblica.
17
Introduccin
Se entiende por fichero todo conjunto organizado de datos de carcter personal, que
permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere
la forma o modalidad de su creacin, almacenamiento, organizacin y acceso.
Los ficheros pueden clasificarse de dos formas:
1. Atendiendo a su titularidad:
Ficheros de titularidad privada: los ficheros de los que sean responsables las
personas, empresas o entidades de derecho privado, con independencia de quien
ostente
la titularidad de
econmicos,
as
como
su
los
ficheros
de
los
que
sean
recursos
responsables
las
etc.).
Ficheros de titularidad pblica: los ficheros de los que sean responsables
los
rganos
las
constitucionales
instituciones
autonmicas
Administraciones
pblicas
con
con
funciones
territoriales,
anlogas
los
Las administraciones
Estado
mismos,
las
sanitarias,
as
automatizados:
de
todo
conjunto
forma no automatizada
sus
datos
y estructurado
fsicas, que
datos
de
de
carcter
personal
conforme a criterios
personales,
ya
sea
aqul
centralizado,
fsicas o
19
El soporte en el que conste el cumplimiento del deber de informar ser conservado por el
responsable del fichero o tratamiento. Estos soportes se podrn almacenar por medios
informticos o telemticos; en todo caso, si su soporte fuera papel se permite su
escaneado siempre que quede garantizado que con dicha automatizacin no se altera el
soporte original.
Toda persona o entidad que proceda a la creacin de ficheros de datos de carcter
personal lo notificar previamente a la Agencia Espaola de Proteccin de Datos. El
Registro General de Proteccin de Datos inscribir el fichero si la notificacin se ajusta a
los requisitos exigibles. La inscripcin del fichero es previa a su creacin.
Todos los ficheros automatizados preexistentes deberan haberse notificado a la Agencia
Espaola de Proteccin de Datos antes del 14 de enero de 2003.
Los ficheros no automatizados, creados con posterioridad a la fecha de entrada en vigor
de la Ley Orgnica de Proteccin de Datos (14 de enero de 2000) debern ser notificados
para su inscripcin en el Registro. Para los ficheros manuales que ya existieran antes de
la entrada en vigor de la LOPD, no se estableci como necesaria la notificacin para su
inscripcin hasta el 24 de octubre de 2007, de conformidad con lo establecido en el
ltimo prrafo de la Disposicin Adicional Primera.
En el caso de no notificarse la existencia de un fichero podra incurrirse en falta leve o
grave, como se establece en el artculo 44 de la Ley Orgnica 15/1999 de Proteccin de
Datos, quedando sujeto al rgimen sancionador previsto en esta misma Ley.
Cuando se va a crear un nuevo fichero o se va a realizar un nuevo tratamiento de datos
personales, se deber notificar la existencia del fichero para su inscripcin en el Registro.
Cualquier modificacin posterior en el contenido de la inscripcin de un fichero en el
Registro deber comunicarse a la Agencia Espaola de Proteccin de Datos mediante la
solicitud de modificacin o de supresin de la inscripcin, segn corresponda.
El Registro General de Proteccin de Datos inscribe el fichero si la notificacin se ajusta a
los requisitos exigibles. En caso contrario podr pedir que se completen los datos que
falten o se proceda a su subsanacin.
Una vez inscrito el fichero en el Registro, la Agencia Espaola de Proteccin de Datos
notificar la resolucin de inscripcin del Director en la que se comunicar el cdigo de
inscripcin asignado a la direccin que a tales efectos se ha hecho constar en el
apartado correspondiente de la Hoja de solicitud.
Igualmente, cuando los interesados as lo manifiesten expresamente en el formulario de
notificacin, podrn recibir por medios telemticos la notificacin de la resolucin de
inscripcin, la
comunicacin de
subsanar
su
solicitud, o
cualquier
otro
escrito
20
el
Ministerio
ficheros
de
titularidad
pblica
privada,
aprobados
mediante
la
resolucin
mencionada, continuaban siendo vlidas siempre que las mismas tuvieran entrada en la
Agencia Espaola de Proteccin de Datos con anterioridad al 1 de diciembre de 2006.
El
Datos adecuar
21
el
formulario electrnico, la
hoja
de
solicitud, el
apartado
de
aquellos apartados
que
se
modifican respecto
a la
sealados
que
se
pretendan
modificar deben
cumplimentarse
por
completo, indicando todos los datos y no slo los modificados respecto a notificaciones
previas, ya que esta notificacin es sustitutiva a efectos de inscripcin en el Registro. As
mismo, nicamente se cumplimentarn los apartados que hayan sido sealados para su
modificacin en el apartado Modificacin de la inscripcin del fichero.
En el caso de que se notifique la supresin de un fichero, se deber cumplimentar, del
modelo de notificacin, la hoja de solicitud y el apartado
cdigo de
de Supresin, indicando el
inscripcin del fichero que fue asignado por la Agencia. Tambin deber
en el texto correspondiente,
y el destino
de la
declarados
en anteriores
General de Proteccin de Datos. Para realizar este tipo de modificacin, deber enviar a
la Agencia Espaola de Proteccin de Datos un escrito firmado por persona
representacin
suficiente del
responsable
del
fichero indicando la
con
subsanacin
correspondiente.
Para notificar un cambio de responsable se deber indicar en el apartado Modificacin
de la inscripcin de los datos correspondientes al responsable del fichero (Razn social y
CIF) que figuran en la inscripcin del fichero.
Los datos correspondientes a la nueva denominacin del responsable del fichero (Razn
social y NIF o CIF) se introducirn en el apartado 1. Responsable del fichero. Adems de
la notificacin se deber adjuntar la documentacin que justifique el cambio del titular.
22
No obstante, dispone el artculo 19 del Reglamento que, en los supuestos en los que se
produzca una modificacin en el responsable del fichero como consecuencia
de una
responsable
correspondiente.
Si se trata de notificar una supresin de la inscripcin por responsable distinto del que
figura inscrito en el Registro General de Proteccin de Datos, se deber indicar en el
apartado de Supresin de la inscripcin los datos correspondientes al responsable del
fichero (Razn social y CIF) que figuran en la inscripcin del fichero.
En el caso de la proteccin de datos sanitario, hay que tener en cuenta que son utilizados
principalmente por los facultativos, pero slo pueden hacer uso de ellos para el fin previsto,
ya que tienen que tener en cuenta su cdigo deontolgico.
pueden
ser
responsables
del
fichero o
del
tratamiento
los
entes
sin
autoridad
pblica,
servicio
datos
cualquier
otro
persona
organismo
del
que,
fsica o
solo
responsable
o
del
tratamiento.
Por su parte, el RLOPD establece un verdadero estatuto del encargado del tratamiento.
As, se establecen y regulan las relaciones de ste con el responsable del fichero: el
acceso a los
datos por parte del encargado del tratamiento, cuando suponga una
contenido,
tratamiento
tratar
los
establecindose
datos
conforme a
expresamente
las
que
instrucciones
el
del
encargado
del
responsable
del
encargado
del
tratamiento.
Esta
responsabilidad no
le
ser
achacable cuando, previa indicacin expresa del responsable, comunique los datos a un
tercero designado por ste, al que se hubiese encargado la prestacin del servicio tal y
como seala el Reglamento.
Por otra parte, el encargado del tratamiento tiene vetada la posibilidad de subcontratar
con un tercero la prestacin de tratamiento alguno encomendado por el responsable del
tratamiento; para poder realizar esta subcontrata necesita de autorizacin para ello, de
forma que cuando se cuente con ella, la subcontratacin se har siempre en nombre y
por cuenta del responsable del tratamiento.
A pesar de lo anterior, el artculo 21.2 del Reglamento nos indica qu subcontrataciones
pueden realizarse sin que sea necesaria la autorizacin; sern las que cumplan con estos
requisitos:
24
del tratamiento
y la empresa
subcontratista
formalicen el
subcontratista
ser
considerado
encargado
del
tratamiento,
caso, el
sindole
de
destruidos
o devueltos al responsable
soportes o documentos en los que consten datos de carcter personal objeto del
tratamiento. Como salvedad a lo anterior, dispone el Reglamento que los datos no sern
destruidos si alguna norma prev su conservacin; en este caso, sern devueltos
garantizndose por el responsable del fichero su conservacin.
Es obligacin del encargado
datos
en
tanto
que
del tratamiento
pudieran
conservar, debidamente
derivarse responsabilidades
de
su
bloqueados,
los
relacin con
el
figurar escrito en el Registro General del Proteccin de Datos como entidad responsable
de los ficheros o tratamientos.
Cuando existan varios encargados, nicamente se consignarn los datos de uno de
ellos. Se recomienda que se haga constar la denominacin del encargado que realice el
tratamiento de datos que pueda implicar una mayor duracin de tiempo, o riesgos
mayores segn el tipo y la cantidad de riesgos tratados.
El resto de los encargados del tratamiento se podr comunicar mediante un escrito
adjunto a la notificacin para que el RGPD tome nota a los efectos informativos.
No obstante, si se desea que figuren inscritos ms de un encargado en el apartado 4
Encargado del tratamiento se podr notificar tantas inscripciones como encargados
diferentes existan.
Estas notificaciones se diferenciaran en los datos consignados en el apartado 4 y en su
caso, en los apartados 5. Identificacin y finalidad del fichero, 7. Tipos de datos,
estructura y organizacin del fichero.
25
se
selecciona
AEPD como
Tipos de Ficheros
La Agencia Espaola de Proteccin de Datos clasifica los ficheros segn su finalidad y
usos previstos en los siguientes grupos y subgrupos:
Gestin contable, fiscal y administrativa:
o
Gestin fiscal.
Gestin administrativa.
Gestin de facturacin.
Gestin de clientes.
Gestin de proveedores.
Administracin de fincas.
26
Recursos humanos:
o
Gestin de personal.
Gestin de nminas.
Formacin de personal.
Prestaciones sociales.
Seleccin de personal.
Control horario.
Cuenta de crdito.
Cuenta de depsito.
Gestin de patrimonios.
Publicidad y prospeccin:
o
Publicidad.
Venta a distancia.
Encuestas de opinin.
Anlisis de perfiles.
Prospeccin comercial.
27
Segmentacin de mercados.
Recopilacin de direcciones.
Servicios de telecomunicaciones:
Comercio electrnico.
Gestin de
similares.
Asistencia social.
clubes
asociaciones
deportivas,
Educacin:
o
Enseanza universitaria.
Educacin especial.
Otras enseanzas.
Sanidad:
o
Control clnico.
Seguridad:
o
culturales,
profesionales
Finalidades varias:
o
Fidelizacin de clientes.
Otras finalidades.
32
de
la
LOPD nos
dice
de
funcionamiento, procedimientos
aplicables,
normas
de
seguridad
del
en la LOPD y en el
29
C o n t e n i do d e l o s C di g o s T i p o
Los cdigos tipo debern estar redactados en trminos claros y accesibles, deben
respetar la
precisin:
La delimitacin clara y precisa de su mbito de aplicacin, las actividades a que el
cdigo se refiere y los tratamientos sometidos al mismo.
Las previsiones especficas para la aplicacin de los principios de proteccin de
datos.
El
establecimiento de estndares
de
supervisin a
travs
de
los
cuales
se
garantice
el
afectados
al
tipo
para
la obtencin
del
consentimiento
de
los
para
el
ejercicio
por
los
afectados
de
sus
derechos
de
C om pr om i so s A d i c io n a l e s
Los cdigos tipo podrn incluir cualquier otro compromiso adicional que asuman
los
30
Adems podrn
contener
puedan
establecer
las
para
adecuado,
eficaz y disuasorio.
garantizar:
La independencia e imparcialidad del rgano responsable de la supervisin.
La sencillez, accesibilidad, celeridad y gratuidad para la presentacin de quejas y
reclamaciones ante dicho rgano por los eventuales incumplimientos del cdigo
tipo.
El principio de contradiccin.
Una
graduacin
de
sanciones
que
permita
ajustarlas
la
gravedad
del
y podrn implicar la
31
Los datos de carcter personal recogidos o elaborados por las Administraciones pblicas
para el desempeo de sus atribuciones no sern comunicados a otras Administraciones
pblicas para el ejercicio de competencias diferentes o de competencias que versen
sobre materias distintas. Existen una serie de excepciones a los derechos de acceso,
rectificacin y cancelacin contemplados en el artculo 23 de la LOPD:
Los responsables
de
los
ficheros que
contengan
datos
de
carcter
personal, incluidos los datos sobre ideologa, religin, ideas polticas, sexo, raza
y vida sexual,
recogidos
y Cuerpos de
la proteccin
de
los derechos
y libertades
de
terceros
o las
de los
el ejercicio de
actuaciones
administrativas
derechos
tendentes
cuando
asegurar
el mismo
el
obstaculice
las
cumplimiento de
las
tributarias
autonmicas,
quienes
debern
o por las
asegurarse
de
la
Derechos ARCO
La
32
personalsimo, es decir, deben ser ejercidos directamente por los interesados o sus
representantes
legales
ante
cada
tambin
de
acceso,
uno
podrn
para
El
los
ejercitarse a
responsables
travs
de
un
el ejercicio del
derecho.
cancelacin
oposicin
rectificacin,
de
entenderse
que
de
los
representante
su
son
vez, los
derechos
el ejercicio de
ninguno
la solicitud de
acceso,
responsable
deber
atender
como
el
documento
instrumento
electrnico
acreditativo
de
tal
representacin.
La
33
En los casos en los que la solicitud no rena estos requisitos, el responsable del fichero
deber solicitar la subsanacin de los mismos. Establece el Reglamento la obligatoriedad
de respuesta para el responsable del tratamiento tanto en el caso de que en sus ficheros
figuren los datos del afectado como en el supuesto de que no figuren.
El ejercicio de los derechos ser mediante medios sencillos y gratuitos, de ah que se
considere contraria a lo dispuesto en la Ley la exigencia de envo de cartas certificadas o
medios
similares, as
como
servicios de
telecomunicaciones que
impliquen una
debern
supuesto de que el afectado eligiere otro modo de ejercicio de stos diferente al ofertado
por el responsable del fichero o tratamiento, su solicitud ha de ser atendida en todo
caso.
Cuando los afectados ejercitasen sus derechos ante un encargado del tratamiento, ste
tiene la obligacin de dar traslado de la solicitud al responsable, a fin de que sea resuelta
por ste. La LOPD dedica los artculos 15, 16 y 17 a los derechos ARCO. Por su parte el
Reglamento dedica ntegramente el Ttulo III a la regulacin de estos derechos.
D e re c h o d e A c c e s o
Este derecho est regulado por el artculo 15 de la Ley Orgnica 15/1999, de 13 de
diciembre, de Proteccin de Datos de Carcter Personal, as como por Captulo II del
Reglamento, que reconocen el derecho del afectado a solicitar y obtener gratuitamente
informacin sobre:
Sus datos de carcter personal sometidos a tratamiento.
El origen de dichos datos.
Las comunicaciones realizadas o que se prevn hacer de los mismos.
La finalidad del tratamiento.
Es decir, se entiende este derecho, como la facultad o capacidad que se reconoce al
interesado de recabar informacin de cada una de las empresas u organismo pblico
sobre los datos de carcter personal sometidos a tratamiento, sobre el origen de los
mismos y sobre las cesiones o comunicaciones realizadas o que se prevean realizar.
La informacin podr obtenerse mediante la mera consulta de los datos por medio de su
visualizacin, o la indicacin de los datos que son objeto de tratamiento mediante
escrito, copia, telecopia o fotocopia, certificada o no, en forma legible e inteligible, sin
utilizar claves o cdigos que requieran el uso de dispositivos mecnicos especficos, o
bien, por correo electrnico u otros sistemas de comunicaciones electrnicas y cualquier
otro sistema que sea adecuado a la configuracin o implantacin material del fichero o a
la naturaleza del tratamiento, ofrecido por el responsable.
34
Datos, por vencimiento del plazo indicado sin resolucin alguna, el responsable
del
fichero deber contestar la solicitud que se le dirija, con independencia de que figuren, o
no, datos personales del afectado en sus ficheros, debiendo utilizar cualquier medio que
permita acreditar el envo y la recepcin.
La informacin que se proporcione, cualquiera que sea el soporte en que fuere facilitada,
se dar en forma legible e inteligible, sin utilizar claves o cdigos que requieran el uso de
dispositivos mecnicos especficos y comprender todos los datos de base del afectado,
los resultantes de cualquier elaboracin o proceso informtico, as como la informacin
disponible sobre el origen de los datos, los cesionarios de los mismos y la especificacin
de los concretos usos y finalidades para los que se almacenaron los datos.
Si, estimada la solicitud, no se acompaa a su comunicacin la informacin pretendida,
el acceso se har efectivo durante los 10 siguientes a la misma.
No obstante, cabe la posibilidad de que nuestra solicitud de acceso sea denegada, lo
cual suceder si hemos ejercitado nuestro derecho en los doce meses anteriores, si bien
como excepcin a ello, se nos permite alegar un inters legtimo al efecto.
Podr tambin denegarse el acceso en los supuestos en que as lo prevea una Ley o una
norma
de
stas
impidan al
responsable del tratamiento revelar a los afectados el tratamiento de los datos a los que
se refiera el acceso.
En todo caso, el responsable del fichero informar al afectado de su derecho a recabar la
tutela de la Agencia Espaola de Proteccin de Datos o, en su caso, de las autoridades
de control de las comunidades autnomas.
35
Derecho de Rectificaci n
Este derecho est regulado por el artculo 16 de la Ley Orgnica 15/1999, de 13 de
diciembre, de Proteccin de Datos de Carcter Personal y se define en el artculo 31 del
Reglamento como el derecho del afectado a que se modifiquen los datos que resulten
ser inexactos o incompletos.
El ejercicio de este derecho es personalsimo, por lo que el titular de los datos deber
dirigirse directamente al responsable del fichero de la entidad de que se trate. Como
hemos visto en los supuestos anteriores deber utilizar un medio que permita acreditar
el envo y recogida de su solicitud, acompaando copia del DNI.
La solicitud de rectificacin deber indicar a qu datos se refiere y la correccin que haya
de realizarse y deber ir acompaada de la documentacin justificativa de lo solicitado.
El responsable del tratamiento dispone de un plazo de 10 das para hacer efectivo este
derecho.
Transcurrido
este
plazo,
sin
recibir
contestacin
si
esta
resultase
36
al fichero comn
asimismo respuesta
al
la
identidad y direccin del titular del fichero comn para, que en su caso, puedan
ejercitar sus derechos ante el mismo.
Respecto de aquellos ficheros para actividades de publicidad y prospeccin comercial, el
artculo 50 del Reglamento establece que hay que tener en cuenta que si el derecho se
ejercitase ante una entidad que hubiese encargado a un tercero la realizacin de una
campaa publicitaria, la misma estar obligada a comunicar la solicitud al responsable
del fichero en el plazo de 10 das, a fin de que en el mismo se otorgue al afectado su
derecho.
D e re c h o d e C a n c e l a c i n
Este derecho est regulado por el artculo 16 de la Ley Orgnica 15/1999, de 13 de
diciembre, de Proteccin de Datos de Carcter Personal y se concreta en el artculo 31
del Reglamento, que nos dice que el ejercicio del derecho de cancelacin dar lugar a
que se supriman los datos que resulten ser inadecuados o excesivos, sin perjuicio del
deber de bloqueo conforme a este reglamento.
37
A su vez sern cancelados, en su caso, los datos de carcter personal cuyo tratamiento
no se ajuste a lo dispuesto en la LOPD y, en particular, cuando tales datos resulten
inexactos o incompletos.
La
Transcurrido
este
plazo,
sin
recibir
contestacin
si
esta
resultase
de informacin sobre
solvencia patrimonial y crdito, el artculo 44 del Reglamento nos indica que han de
tenerse presentes las siguientes reglas:
Si la solicitud se dirige al titular del fichero comn, ste tomar las medidas
oportunas para trasladar dicha solicitud a la entidad que haya facilitado los datos,
para que sta la resuelva. En el caso de que el responsable del fichero comn no
haya recibido contestacin por parte de la
38
al fichero comn
asimismo respuesta
al
la
identidad y direccin del titular del fichero comn para, que en su caso, puedan
ejercitar sus derechos ante el mismo.
Respecto de aquellos ficheros para actividades de publicidad y prospeccin comercial, el
artculo 50 del Reglamento establece que hay que tener en cuenta que si el derecho se
ejercitase ante una entidad que hubiese encargado a un tercero la realizacin de una
campaa publicitaria, la misma estar obligada a comunicar la solicitud al responsable
del fichero en el plazo de 10 das, a fin de que en el mismo se otorgue al afectado su
derecho.
D e re c h o d e O p o s i ci n
Los titulares de los datos de carcter personal podrn instar la oposicin al tratamiento
automatizado de estos datos de conformidad con lo previsto por el artculo 6 de la
LOPD.
El artculo 34 del Reglamento
no
sea
necesario
su
consentimiento
para
el
tratamiento,
como
del
39
de
datos
deber
igualmente
responsable
a los
interesados de no verse sometidos a una decisin con efectos jurdicos sobre ellos o que
les afecte de forma significativa, basada nicamente en e l tratamiento automatizado de
datos destinado a evaluar determinados aspectos de su personalidad, tales como su
rendimiento laboral, crdito, fiabilidad o conducta.
En lo que
respecta
a tratamientos
para
actividades
de publicidad y prospeccin
comercial, dispone el artculo 51 del Reglamento que los interesados tendrn derecho a
oponerse, previa peticin y sin gastos, al tratamiento de los datos que les conciernan,
en cuyo caso sern dados de baja del tratamiento, cancelndose las informaciones que
sobre ellos figuren en aqul, a su simple solicitud.
Esta oposicin deber entenderse
40
y no
automatizados.
Estn obligados a notificar la creacin, modificacin o supresin de ficheros para
su inscripcin en el Registro General de Proteccin de Datos, aquellas personas
fsicas o jurdicas, de naturaleza pblica o privada, u rgano administrativo, que
procedan a la creacin de ficheros que contengan datos de carcter personal.
La no notificacin de la existencia de un fichero puede incurrir en falta leve o
grave, con sujecin al rgimen sancionador establecido en la Ley Orgnica de
Proteccin de Datos.
Existe la obligacin de comunicar a la Agencia Espaola de Proteccin de Datos
cualquier modificacin en el contenido de la inscripcin mediante solicitud de
modificacin o supresin de la inscripcin.
Si la notificacin no se ajusta a los requisitos exigibles, no se producir la
inscripcin y el Registro General de Proteccin de Datos pedir los datos que
falten o la subsanacin de lo que sea necesario.
La existencia de un fichero se notifica al Registro mediante formulario electrnico
de
con
otros
decida
sobre
la
finalidad, contenido
uso
del
el carcter
de cdigos deontolgicos
o de buena
41
42