esen
  • Estudios Admision
  • 1

Conceptos

A continuación se muestran los conceptos que debemos conocer para el cumplimiento de los deberes que establece la normativa vigente en materia de protección de datos y el disfrute de los derechos que garantiza el respeto a la protección de los datos personales.

Datos personales

Toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona

Fichero

“Todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso”. (Art. 3.b LOPD).

Como ya hemos comentado al analizar el ámbito de aplicación de la Ley Orgánica 15/199, no se trata solamente de ficheros integrados en sistemas informáticos o telemáticos, si no también de ficheros manuales que pueden estar archivados en armarios, cajones o estanterías, siempre que los datos se encuentren estructurados (organizados) por algún criterio que permita acceder fácilmente a los datos de una determinada persona. 

Una matización importante en cuanto a qué se considera un fichero es la establecida por la Directiva 95/46/CE al definir el concepto de fichero de datos personales como: “todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica”. 

Ejemplos típicos de tratamientos no automatizados de datos: 

  • El fichero manual, organizado en carpetas, que recoge toda la información clínica de un proceso asistencial a un paciente en un centro sanitario.
  • El archivador existente en todos los departamentos de personal en el que se recogen los datos relevantes que se han generado a lo largo de la relación laboral entre el empleado y el empleador, y que afectan a su desarrollo.
  • Atendiendo a los criterios de la Directiva 95/46/CE, podría considerarse un único fichero el conjunto de historias clínicas existentes en un centro, bajo una única responsabilidad, aunque físicamente el fichero esté constituido por varios ficheros independientes (un archivo de historias clínicas en cada servicio o por cada especialidad sanitaria). También podría considerarse un único fichero aunque sus diferentes partes estuvieran distribuidas en puntos separados geográficamente, siempre que los datos, la finalidad y el responsable sea el mismo.

Tratamiento de datos

“Operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias”. (Art. 3.c LOPD).

Prácticamente cualquier actuación vinculada al trabajo habitual que conlleve el manejo de datos personales, supone la realización de un tratamiento de datos. 

Ejemplos:

  • La recogida de instancias de participantes en un proceso selectivo, siempre que se almacenen por un criterio relativo a las personas.
  • La grabación en una aplicación informática de la cita concertada por un ciudadano para acudir a la consulta de su médico.
  • La clasificación y archivo de la documentación recabada en el procedimiento de recogida de los datos (las instancias utilizadas en un proceso selectivo, en tanto éste no haya concluido por completo).
  • La obtención de nuevos datos a partir de la información recabada (el establecimiento de un diagnóstico o un determinado tratamiento en función de los datos obtenidos de un paciente en su exploración).
  • La actualización de la información existente en un fichero a partir de los nuevos datos recabados o de los obtenidos en un proceso de elaboración.
  • El almacenamiento de los datos de forma diferenciada, excluyéndolos de otros tratamientos de datos que se realicen con el sólo objeto de disponer de los mismos cuando sean demandados por las Administraciones públicas, Jueces o Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el periodo de prescripción de éstas (el almacenamiento de las instancias utilizadas en un proceso selectivo una vez concluido éste o el historial clínico de un paciente relativo a un episodio asistencial que se ha dado por concluido).
  • La supresión física de los datos existentes en el fichero.
  • Facilitar el acceso a los datos de una persona por parte de un tercero, mediante cualquier tipo de comunicación, consulta, interconexión o transferencia (envío a una entidad financiera de los datos de nómina de los empleados para que se proceda al abono de las mismas).

Afectado o interesado

“Persona física titular de los datos que sean objeto del tratamiento a que se refiere la definición anterior”.( Art. 3.e LOPD).

Es preciso tener muy en cuenta que sólo pueden ser afectados las personas físicas, una persona jurídica no puede nunca identificarse con el afectado o interesado titular de datos personales.

La protección de datos tiene como objeto una serie de derechos que se configuran como personalísimos, por lo que sólo podrán ser ejercidos por el propio titular, salvo que nos encontremos en el supuesto de un menor o un incapacitado, en cuyo caso podrán ejercerse por medio o valiéndose de su representante legal.

Consentimiento

Toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen

Encargado del tratamiento

“Persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento”. (Art. 3.g LOPD).

El encargado de tratamiento tiene una especial importancia cuando hablamos de tratamiento de datos por parte de organismos públicos. En múltiples ocasiones las Administraciones contratan servicios de mantenimiento de equipos informáticos, servicios de recogida de datos a través de encuestas, etc. El encargado de la realización de estos servicios se constituye normalmente en encargado de tratamiento.

El encargado de tratamiento está legitimado para acceder a los datos personales obrantes en el fichero sin el requisito del consentimiento previo del afectado, siempre que la relación entre el primero y el responsable del fichero esté formalizada en un contrato que obedezca a fines lícitos y legítimos y se especifiquen las condiciones en que se va a llevar a cabo el tratamiento y que la utilización de los datos será únicamente para los fines establecidos por el responsable del fichero.

Un ejemplo típico de encargado del tratamiento es la empresa con la que podemos establecer una relación contractual para que se encargue de la destrucción de los documentos que contienen datos de carácter personal y ya no tengo por qué mantener en mis archivos.

Otro supuesto es cuando encargo a una empresa u otro organismo de la administración que almacene, custodie y me facilite la gestión de un archivo documental para cuya explotación yo no cuento con recursos directos suficientes (el supuesto típico de “externalización” de la gestión del fichero de historias clínicas de un centro hospitalario).

También constituirá un tratamiento de datos el encargo a un tercero para que realice una campaña de correo personalizado (mailing) a las personas que están contenidas en un fichero determinado y que previamente no se han opuesto al envío publicitario, salvo que los datos los hubiera obtenido el responsable del fichero de fuentes accesibles al público (por Ej. Guías telefónicas).

Procedimiento de disociación

“Todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable”.(Art. 3.f LOPD).

Cuando los datos personales no permiten la identificación de una persona concreta pierden el carácter de personales, quedando al margen de la normativa sobre protección de datos.

Un ejemplo típico de disociación es el realizado para el desarrollo de funciones de estadística.

La utilización de este procedimiento, con carácter previo al acceso y tratamiento de los datos, permite eximir al mismo del cumplimiento de las obligaciones que establece e la Ley Orgánica 15/1999, por ejemplo de requerir el consentimiento del interesado para poder utilizar esos datos en el tratamiento previsto.

Usuarios

Son usuarios el personal al servicio del responsable del fichero o encargado del tratamiento que tengan acceso a los datos de carácter personal como consecuencia de tener encomendadas tareas de utilización material de los datos almacenados o que se almacenarán en los ficheros.

Los usuarios están obligados al cumplimiento de las medidas de seguridad establecidas para el tratamiento de los datos y están sujetos al deber de secreto.

Aunque los usuarios no tienen capacidad de decisión en la gestión del tratamiento de datos, es de vital importancia que éstos conozcan y se atengan fielmente a las disposiciones establecidas en la Ley Orgánica 15/1999. Los usuarios son los que mantienen un contacto directo con los datos personales, y en muchas ocasiones, directamente con las personas titulares de los datos.

Tratamiento

Cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.

Seudonimización

el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable.

Responsable del tratamiento o responsable

La persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros.

Datos genéticos

Datos personales relativos a las características genéticas heredadas o adquiridas de una persona física que proporcionen una información única sobre la fisiología o la salud de esa persona, obtenidos en particular del análisis de una muestra biológica de tal persona.

Datos biométricos

Datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos.

Datos relativos a la salud

Datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud