• Estudios Admision
  • 1

Conceptos

A continuación se muestran los conceptos que debemos conocer para el cumplimiento de los deberes que establece la normativa vigente en materia de protección de datos y el disfrute de los derechos que garantiza el respeto a la protección de los datos personales.

“Cualquier información concerniente a personas físicas identificadas o identificables”. (Art. 3.a LOPD)

Esta información, referida siempre a personas físicas, puede ser muy diversa, desde nombre y apellidos, hasta número de cuenta bancaria. El elemento fundamental para determinar que se trata de un “dato personal” es que la información, combinada o por sí misma, permita conocer datos de una persona concreta, bien por estar directamente identificada a través de algún dato, o porque pueda llegar a ser identificable por otro medio. 

La Sentencia del Tribunal Constitucional 292/2000 establece que “el derecho a la protección de datos no se reduce sólo a los datos íntimos de la persona, sino a cualquier tipo de dato personal, sea o no íntimo, cuyo conocimiento o empleo por terceros pueda afectar a sus derechos, sean o no fundamentales, porque su objeto no es sólo la intimidad individual”. 

De acuerdo con la definición que establece la Directiva 95/46/CE, “se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural o social”. 

También la Directiva 95/46/CE, indica en su considerando 26, que: “... para determinar si una persona es identificable, hay que considerar el conjunto de los medios que puedan ser razonablemente utilizados por el responsable del tratamiento o por cualquier otra persona, para identificar a dicha persona; que los principios de la protección no se aplicarán a aquellos datos hechos anónimos de manera tal que ya no sea posible identificar al interesado; que los códigos de conducta... pueden constituir un elemento útil para proporcionar indicadores sobre los medios gracias a los cuales los datos pueden hacerse anónimos y conservarse de forma tal que impida identificar al interesado”. 

En conclusión: 

Se considerará dato de carácter personal, como objeto de la protección de datos, cualquier información referente a una persona física de quien conste o podamos llegar a saber quién es su titular, por intrascendente que pueda parecernos el dato almacenado. 

Una persona estará identificada cuando conste en el fichero algún dato que tenga por finalidad diferenciarla del resto del colectivo cuyos datos se hayan recabado. Da igual que se la identifique por el nombre, el DNI, el número de empleado u opositor, o el más complejo código alfanumérico generado por cualquier algoritmo, siempre que su finalidad sea identificar al interesado.

“Todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso”. (Art. 3.b LOPD).

Como ya hemos comentado al analizar el ámbito de aplicación de la Ley Orgánica 15/199, no se trata solamente de ficheros integrados en sistemas informáticos o telemáticos, si no también de ficheros manuales que pueden estar archivados en armarios, cajones o estanterías, siempre que los datos se encuentren estructurados (organizados) por algún criterio que permita acceder fácilmente a los datos de una determinada persona. 

Una matización importante en cuanto a qué se considera un fichero es la establecida por la Directiva 95/46/CE al definir el concepto de fichero de datos personales como: “todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica”. 

Ejemplos típicos de tratamientos no automatizados de datos: 

  • El fichero manual, organizado en carpetas, que recoge toda la información clínica de un proceso asistencial a un paciente en un centro sanitario.
  • El archivador existente en todos los departamentos de personal en el que se recogen los datos relevantes que se han generado a lo largo de la relación laboral entre el empleado y el empleador, y que afectan a su desarrollo.
  • Atendiendo a los criterios de la Directiva 95/46/CE, podría considerarse un único fichero el conjunto de historias clínicas existentes en un centro, bajo una única responsabilidad, aunque físicamente el fichero esté constituido por varios ficheros independientes (un archivo de historias clínicas en cada servicio o por cada especialidad sanitaria). También podría considerarse un único fichero aunque sus diferentes partes estuvieran distribuidas en puntos separados geográficamente, siempre que los datos, la finalidad y el responsable sea el mismo.

“Operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias”. (Art. 3.c LOPD).

Prácticamente cualquier actuación vinculada al trabajo habitual que conlleve el manejo de datos personales, supone la realización de un tratamiento de datos. 

Ejemplos:

  • La recogida de instancias de participantes en un proceso selectivo, siempre que se almacenen por un criterio relativo a las personas.
  • La grabación en una aplicación informática de la cita concertada por un ciudadano para acudir a la consulta de su médico.
  • La clasificación y archivo de la documentación recabada en el procedimiento de recogida de los datos (las instancias utilizadas en un proceso selectivo, en tanto éste no haya concluido por completo).
  • La obtención de nuevos datos a partir de la información recabada (el establecimiento de un diagnóstico o un determinado tratamiento en función de los datos obtenidos de un paciente en su exploración).
  • La actualización de la información existente en un fichero a partir de los nuevos datos recabados o de los obtenidos en un proceso de elaboración.
  • El almacenamiento de los datos de forma diferenciada, excluyéndolos de otros tratamientos de datos que se realicen con el sólo objeto de disponer de los mismos cuando sean demandados por las Administraciones públicas, Jueces o Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el periodo de prescripción de éstas (el almacenamiento de las instancias utilizadas en un proceso selectivo una vez concluido éste o el historial clínico de un paciente relativo a un episodio asistencial que se ha dado por concluido).
  • La supresión física de los datos existentes en el fichero.
  • Facilitar el acceso a los datos de una persona por parte de un tercero, mediante cualquier tipo de comunicación, consulta, interconexión o transferencia (envío a una entidad financiera de los datos de nómina de los empleados para que se proceda al abono de las mismas).

“Persona física titular de los datos que sean objeto del tratamiento a que se refiere la definición anterior”.( Art. 3.e LOPD).

Es preciso tener muy en cuenta que sólo pueden ser afectados las personas físicas, una persona jurídica no puede nunca identificarse con el afectado o interesado titular de datos personales.

La protección de datos tiene como objeto una serie de derechos que se configuran como personalísimos, por lo que sólo podrán ser ejercidos por el propio titular, salvo que nos encontremos en el supuesto de un menor o un incapacitado, en cuyo caso podrán ejercerse por medio o valiéndose de su representante legal.

“Toda la manifestación de voluntad libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen”.(Art. 3.h LOPD).

Para que el consentimiento sea válido no es siempre necesario que se preste de forma expresa, la Ley admite también, en determinados casos, el consentimiento tácito o presunto.

Una de las formas más usuales de prestar el consentimiento para el tratamiento de datos en ficheros de titularidad pública, es a través de la cumplimentación de impresos, en los que el consentimiento viene prestado por la simple declaración de los datos personales que se reflejan en el cuestionario por el propio interesado.

Cuando los datos se recaben directamente del interesado por medio de una entrevista personal, se puede entender que éste da su consentimiento de forma tácita, al ser él mismo el que nos facilita la información, siempre que se hayan cumplido los principios que establece la Ley Orgánica 15/1999 para el tratamiento de los datos (información previa y adecuación de los datos, por ejemplo).

“Toda revelación de datos realizada a una persona distinta del interesado”.(Art. 3.i LOPD).

La cesión de datos es uno de los puntos fundamentales de la normativa sobre protección de datos. Como regla general, los datos personales sólo pueden ser revelados a persona o entidad distinta del interesado con el consentimiento inequívoco de éste. Otros dos conceptos estrechamente relacionados con la cesión son los de tercero y destinatario, que son definidos en la Directiva 95/46/CE de la siguiente forma: 

“Tercero: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo distinto del interesado, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos bajo la autoridad directa del responsable del tratamiento o del encargado del tratamiento. 

Destinatario: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que reciba comunicación de datos, se trate o no de un tercero. No obstante, las autoridades que puedan recibir una comunicación de datos en el marco de una investigación específica no serán consideradas destinatarios”.

Ejemplos de cesión de datos: Se produce una cesión cuando los datos que se han obtenido para una determinada finalidad se ceden a un tercero para el ejercicio de otra finalidad distinta de aquella para la que se recogieron. La simple visualización por un tercero o la comunicación de cualquier dato al mismo, por ejemplo al realizar una consulta telefónica, constituyendo una cesión de datos.

"Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo que decide sobre la finalidad, contenido y uso del tratamiento”.(Art. 3.d LOPD). 

Dentro del ámbito de los ficheros de titularidad pública, el responsable del fichero siempre es un órgano administrativo. >

El responsable del fichero es quien decide la creación del fichero, para qué se va a utilizar y qué uso se va a dar a éste. 

El responsable del fichero es la entidad obligada a dar respuesta a los ciudadanos ante el ejercicio de sus derechos de acceso, rectificación, cancelación y oposición. 

El responsable del fichero, en el supuesto de ser un órgano de la Administración pública, es el sujeto pasivo contra quien se dirigirá el procedimiento por infracción de Administración pública, o, si se trata de una empresa privada, será aquél en quien recaerán las posibles sanciones de tipo pecuniario en caso de comisión de infracciones a la legislación sobre protección de datos personales, sin perjuicio de la responsabilidad directa del autor de la infracción, si lo hubiera. Directiva 9/46/CE define al responsable del fichero como: “la persona física o jurídica, autoridad pública o servicio o cualquier otro organismo que solo o conjuntamente con otros determine los fines y los medios del tratamiento de datos personales; en caso de que los fines y los medios del tratamiento estén determinados por disposiciones legislativas o reglamentarias nacionales o comunitarias, el responsable del tratamiento o los criterios específicos para su nombramiento podrán ser fijados por el Derecho nacional o comunitario”.

“Persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento”. (Art. 3.g LOPD).

El encargado de tratamiento tiene una especial importancia cuando hablamos de tratamiento de datos por parte de organismos públicos. En múltiples ocasiones las Administraciones contratan servicios de mantenimiento de equipos informáticos, servicios de recogida de datos a través de encuestas, etc. El encargado de la realización de estos servicios se constituye normalmente en encargado de tratamiento.

El encargado de tratamiento está legitimado para acceder a los datos personales obrantes en el fichero sin el requisito del consentimiento previo del afectado, siempre que la relación entre el primero y el responsable del fichero esté formalizada en un contrato que obedezca a fines lícitos y legítimos y se especifiquen las condiciones en que se va a llevar a cabo el tratamiento y que la utilización de los datos será únicamente para los fines establecidos por el responsable del fichero.

Un ejemplo típico de encargado del tratamiento es la empresa con la que podemos establecer una relación contractual para que se encargue de la destrucción de los documentos que contienen datos de carácter personal y ya no tengo por qué mantener en mis archivos.

Otro supuesto es cuando encargo a una empresa u otro organismo de la administración que almacene, custodie y me facilite la gestión de un archivo documental para cuya explotación yo no cuento con recursos directos suficientes (el supuesto típico de “externalización” de la gestión del fichero de historias clínicas de un centro hospitalario).

También constituirá un tratamiento de datos el encargo a un tercero para que realice una campaña de correo personalizado (mailing) a las personas que están contenidas en un fichero determinado y que previamente no se han opuesto al envío publicitario, salvo que los datos los hubiera obtenido el responsable del fichero de fuentes accesibles al público (por Ej. Guías telefónicas).

“Todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable”.(Art. 3.f LOPD).

Cuando los datos personales no permiten la identificación de una persona concreta pierden el carácter de personales, quedando al margen de la normativa sobre protección de datos.

Un ejemplo típico de disociación es el realizado para el desarrollo de funciones de estadística.

La utilización de este procedimiento, con carácter previo al acceso y tratamiento de los datos, permite eximir al mismo del cumplimiento de las obligaciones que establece e la Ley Orgánica 15/1999, por ejemplo de requerir el consentimiento del interesado para poder utilizar esos datos en el tratamiento previsto.

“Aquellos ficheros cuya consulta puede ser realizada por cualquier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación”. (Art. 3.j LOPD).

Las fuentes de acceso público están enumeradas y tasadas por la Ley Orgánica 15/1999. Así, únicamente son consideradas como fuentes de acceso público: el censo promocional (todavía sin regular), los repertorios telefónicos, las listas de personas pertenecientes a grupos de profesionales, los diarios y boletines oficiales y los medios de comunicación.

Siempre que una norma reguladora en material de protección de datos haga referencia a que los datos se hayan obtenido de una fuente accesible al público, debe tenerse en cuenta la enumeración con carácter exhaustivo que hace la Ley, no pudiendo considerar fuente accesible al público (en materia de protección de datos) ninguna otra fuente, aún cuando al crear un fichero se indique en su propia disposición de creación que tendrá carácter de acceso público.

Son usuarios el personal al servicio del responsable del fichero o encargado del tratamiento que tengan acceso a los datos de carácter personal como consecuencia de tener encomendadas tareas de utilización material de los datos almacenados o que se almacenarán en los ficheros.

Los usuarios están obligados al cumplimiento de las medidas de seguridad establecidas para el tratamiento de los datos y están sujetos al deber de secreto.

Aunque los usuarios no tienen capacidad de decisión en la gestión del tratamiento de datos, es de vital importancia que éstos conozcan y se atengan fielmente a las disposiciones establecidas en la Ley Orgánica 15/1999. Los usuarios son los que mantienen un contacto directo con los datos personales, y en muchas ocasiones, directamente con las personas titulares de los datos.

¿Olvidó o no tiene su clave?