El artículo 5.1 de la LOPD establece que los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco de al menos:

 

a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.

 

b) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.

 

c) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

 

 

 

Por tanto, es recomendable (que no obligatorio) incluir la cláusula informativa en las facturas y/o documentos que se le entreguen al cliente y aquellos en donde se le recojan datos personales, de forma que estemos informando en todo momento al cliente de los extremos señalados anteriormente y, llegado el caso, podamos demostrar a la AEPD que hemos cumplido con el deber de información exigido.

 

 

 

El derecho de acceso es el derecho del afectado a obtener información sobre si sus propios datos de carácter personal están siendo objeto de tratamiento, la finalidad del tratamiento que, en su caso, se esté realizando, así como el origen de dichos datos y las cesiones previstas de los mismos.

 

 

El responsable del fichero o tratamiento podrá denegar el acceso en estos casos:

 

a) Cuando la solicitud sea formulada por una persona distinta del afectado y no se acredita que actúa en representación de aquél.

 

b) Cuando el derecho ya se ha ejercitado en los doce meses anteriores a la solicitud, salvo que se acredite un interés legítimo al efecto.

 

c) Cuando lo prevea una Ley o una norma de derecho comunitario.

 

Es decir, que el titular de los datos solo podrá solicitar un derecho de acceso una vez cada 12 meses, siempre que no acredite un interés legítimo para acortar este plazo de tiempo.

 

 

 

IMPORTANTE

 

 

 

El responsable del fichero dispone de un mes para estimar la solicitud de acceso, y cuenta con 10 días para responder a dicha solicitud una vez estimada.

 

Cuando se incorpora un trabajador a la entidad, debemos realizar las siguientes acciones:

1.      Identificar el perfil al que pertenece ese usuario y, si es necesario, crear un perfil nuevo para él si no existe perfil adaptado a su tratamiento.

2.      Incorporar este usuario a la lista de usuarios y accesos autorizados, de forma que conste en el documento de seguridad los ficheros a los que va a tener acceso de forma efectiva.

3.      Crearle un identificador único para el acceso a los sistemas y una contraseña personal.

4.      Crearle las autorizaciones que precise ese trabajador para sus funciones:

a.      Salida de soportes y/o documentos fuera de las instalaciones.

b.      Uso de portátiles.

c.       Trabajo fuera de los locales.

d.      Dispositivos a los que tiene acceso.

e.      Etc.

5.      Darle a firmar el compromiso de confidencialidad y deber de secreto.

 

6.      Darle una formación LOPD relacionada con sus funciones.  

 

El informe 00376 de la AEPD resuelve la consulta planteada sobre si el servicio que se suministra a una empresa de recuperación de impagados se ajusta a la normativa de protección de datos.

 

La consulta en concreto se plantea sobre si la localización de teléfonos de morosos se adecúa a la LOPD, así como de la situación que se produce cuando dicha empresa contacta con un teléfono que no corresponde al deudor y para realizar la verificación de la identidad, se facilita el DNI del deudor y el importe de la deuda.

 

De dicho informe jurídico se extrae lo siguiente:

 

  1. La compañía que le busca el teléfono es encargada del tratamiento de la primera. Por tanto, debe de existir un contrato de acceso a datos por cuenta de terceros entre ambas.

  2. Siempre y cuando la búsqueda del teléfono sea en fuentes accesibles al público, no precisa del consentimiento de los titulares de los datos.

 

Es este supuesto, la comunicación de datos a una persona distinta al titular de los datos, si no existe  previo consentimiento del interesado, sería contrario a lo previsto en la LOPD.

 

 

La LOPD establece que el Documento de Seguridad deberá mantenerse actualizado, de forma que refleje en todo momento la realidad de la organización.

 

A tal efecto, deberemos estar atentos a los siguientes cambios para actualizar el Documento de Seguridad:

 

  • Usuarios que acceden a los ficheros.

  • Modificaciones en los procedimientos.

  • Encargados del tratamiento y servicios prestados.

  • Equipamiento informático.

  • Actualizaciones/instalaciones de software.

  • Incidencias que se produzcan.

  • Personas autorizadas para salidas de soportes, uso de portátiles, etc.

  • Administradores de los ficheros y responsables de seguridad.

  • Comenzamos a recoger datos que antes no se recogían (ej. Correo electrónico de los clientes).

    Nuevos soportes que deban incluirse en el inventario de soportes y documentos.

 

 

En el procedimiento sancionador PS/00517 de la AEPD podemos ver la sanción que puede sufrir una empresa si no toma las medidas necesarias para asegurarse de que se cumplen las medidas de seguridad descritas en el Documento de Seguridad.

Según los hechos, fue un ciudadano el que alertó a la Policía Local de que documentación con datos personales se encontraba en un contenedor de basura. 

En la inspección se comprobó que dicha documentación estaba en un contenedor de residuos orgánicos correspondiente a una gestoría. 

Dicha gestoría tenía inscritos los ficheros en la AEPD, disponía de Documento de Seguridad en regla y todo el personal había sido instruido sobre las medidas de seguridad instauradas, así como los procedimientos a llevar a cabo para el tratamiento de los datos.  

Dichos documentos habían terminado en el cubo de la basura por descuido de una persona de limpieza, que había vaciado en el cubo de basura documentación que debía destruirse previamente. 

Este hecho infringe los artículos 9 y 10, relativos a la seguridad de los datos y al deber de secreto. 

Resultado: Sanción de 4.000€ por vulneración del artículo 9 de la LOPD, relativo a la seguridad de los datos.

 

IMPORTANTE

No es suficiente con detallar perfectamente las medidas de seguridad en el Documento de Seguridad. Además, han de cumplirse

 

 

 

 

 

 

Según establece la Ley, cualquier persona podrá conocer, recabando para ello la información oportuna del Registro General de Protección de Datos (RGPD) de:

 

  • La existencia de tratamientos de datos de carácter personal,

  • sus finalidades, y

  • la identidad del responsable del tratamiento.

    El Registro General es de consulta pública y gratuita.

    El catálogo de ficheros inscritos en el RGPD, se puede consultar en la web de la Agencia Española de Protección de Datos (www.agpd.es).

    Para realizar la consulta únicamente es necesario introducir la razón social o el CIF de la empresa que se desea consultar, mostrándose entonces, los ficheros que tiene notificados, así como de detalle de los mismos.

    Esta consulta no necesita de ningún tipo de acreditación para realizarse, pudiendo hacerse en cualquier momento, por cualquier persona y de forma anónima.

 

 

En el procedimiento sancionador PS/00328 de la AEPD podemos ver la sanción que puede sufrir una empresa si el cartel informativo de zona videovigilada no cumple con los requisitos formales establecidos.

Según los hechos, la Policía Municipal de Madrid denuncia la instalación de cámaras de videovigilancia en el establecimiento ATOLÓN, titularidad de INVERSIONES ALABARDERO SL, sin cumplir los requisitos exigidos en la LOPD.

 

Los responsables del local presentaron documentación en la que se hace constar que la instalación de las cámaras de seguridad ha sido efectuada por la entidad "Securitas Direct", así como un CD con fotografías de los carteles instalados en el establecimiento, y en las mismas se puede apreciar que el cartel instalado recoge: "Securitas Direct. Instalación Protegida. Camaras de videovigilancia 24 horas" y un número de teléfono.

 

Sin embargo, según la AEPD, dicho cartel no es conforme a la normativa en materia de protección de datos, porque omite un dato fundamental en la medida en que no recoge la identidad del responsable del fichero ante el que ejercitar los derechos de acceso, rectificación, cancelación, y oposición reconocidos en los arts. 15 y siguientes de la LOPD, así como la referencia a la "Ley Orgánica 15/1999, de Protección de Datos".

 

Resultado: Sanción de 2.000€ por vulneración del artículo 5.1 de la LOPD, relativo al derecho de información. 

 

IMPORTANTE

 

El cartel informativo debe incluir la identidad del responsable del fichero y el domicilio ante el cual pueden ejercerse los derechos de acceso y cancelación de las imágenes.

 

 

 

 

 

El informe

0046 de la AEPD resuelve la consulta planteada sobre el tratamiento de datos personales de los menores de edad a los que se facilita una tarjeta de fidelización.

De dicho informe jurídico se extrae lo siguiente:

a) Si es un menor de 14 años ó incapaz, el consentimiento ha de ser otorgado por los padres.

b)

la cláusula informativa debe estar elaborada en un lenguaje comprensible a la edad del menor.

c)

No se podrán recabar del menor datos que permitan obtener información sobre los demás miembros del grupo familiar, o sobre las características del mismo, como los datos relativos a la actividad profesional de los progenitores, información económica, datos sociológicos, o cualesquiera otros, sin el consentimiento de los titulares de tales datos (únicamente podrán recabarse los datos de la identidad y dirección del padre, madre o tutor con la única finalidad de recabar la autorización prevista en el apartado a).

d)

Corresponde al responsable del fichero articular los procedimientos que garanticen que se ha comprobado de modo efectivo la edad del menor y la autenticidad del consentimiento prestado en su caso, por los padres, tutores o representantes legales.

Para cumplir correctamente la LOPD, cuando se va un trabajador a la entidad, debemos realizar las siguientes acciones:

1. Eliminar o marcar la fecha de baja de este usuario en la lista de usuarios y accesos autorizados, de forma que ya no conste en el documento de seguridad como usuario autorizado para acceder a los ficheros con datos personales.

2. Eliminar o bloquear el identificador que tenía asignado para el acceso a los sistemas.

3. Dar de baja las autorizaciones que tuviera ese trabajador para sus funciones:

a. Salida de soportes y/o documentos fuera de las instalaciones.

b. Uso de portátiles.

c. Trabajo fuera de los locales.

d. Dispositivos a los que tiene acceso.

e. Etc.

4. Cancelar todos los privilegios de ese trabajador así como las conexiones remotas que tuviera habilitadas.