Agencia de Protección de Datos: Lo Obligatorio.

Hola.

Me piden 400 euros por un curso para poder manejar el tema de protección de datos y no me gusta soltar tal pasta con lo que está cayendo.

¿Me podéis decir lo que es obligatorio para que me tenga que dar de alta en la Agencia de Protección de Datos?

Es decir, cuando hace falta y cuando no.

Gracias.

Hola miguelangelpe_z.

Sí, hoy en día proliferan empresas y negociantes que ofrecen cursos supuestamente obligatorios para casi todo.

Lo que comentas es absurdo, ya que de poco te va a servir un curso sobre un tema que es propio de la carrera de Derecho. Lo que te quiero decir es que, salvo que te dediques a esta especialidad y quieras ahondar en este asunto, es muy desaconsejable pensar que la realización de un curso te va a convertir en un experto en tal o cual tema legal, capacitándote para su manejo y la gestión de los asuntos e incidencias que puedan presentársete en el futuro.

Cualquier tema legal está interconectado con multitud de cuestiones propias de diversos sectores del ordenamiento jurídico que hay que tener igualmente en cuenta.

En estos temas, se trata de ponerte en manos de un abogado o licenciado en Derecho especializado en asesoría relacionada con protección de datos.

Llegado a este punto, te diré que contesté a una persona preguntando lo mismo en el foro de Pórtico Legal. Puedes ver la respuesta en

http://www.porticolegal.com/foro/nue...ccion+de+datos

En cualquier caso, y por si ese otro post desapareciese o el foro dejara de estar en Internet, reproduzco su contenido a continuación para ilustrarte sobre lo que debe ser objeto de tratamiento y registro según la normativa de protección de datos en España.



La determinación de los datos cuya recogida, almacenamiento y tratamiento se sujetan a la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y normativa de desarrollo (principalmente el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal), se determina por un triple criterio, objetivo, geográfico y funcional.

1. Criterio objetivo, en cuanto a la naturaleza de los datos a recoger, almacenar y tratar.

2. Criterio geográfico, relativo al ámbito jurisdiccional al que se aplica la normativa española y sus concreciones.

3. Criterio funcional, referente a líneas y condicionantes en cuanto a la necesidad en la recogida y utilización de los datos personales, así como las limitaciones que sobre ello se imponen.


CRITERIO OBJETIVO

Por un lado, el artículo 2-1º de la Ley 15/1999 y del Reglamento 1720/2007 coinciden en su contenido al describir su marco de aplicación:

“(…) será de aplicación a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado.”

Se trata pues de distinguir una serie de elementos que determinan la condición de datos sometidos a la regulación de esta ley:

A) DATOS DE CARÁCTER PERSONAL

Como establece el artículo tercero del Reglamento 1720/2007, debe entenderse por datos de carácter personal “cualquier información concerniente a personas físicas identificadas o identificables”.

La especificación del carácter personal de los datos determina la exclusión de aquellos que precisamente no lo son, tal y como describe los apartados segundo y tercero del artículo segundo del Reglamento 1720/2007, que deja fuera de su regulación:

1. Datos referidos a personas jurídicas, ni a los ficheros que se limiten a incorporar los datos de las personas físicas que presten sus servicios en aquéllas, consistentes únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales (apartado segundo).

2. Datos relativos a empresarios individuales, cuando hagan referencia a ellos en su calidad de comerciantes, industriales o navieros, también se entenderán excluidos del régimen de aplicación de la protección de datos de carácter personal (apartado tercero).

Igualmente, y teniendo en cuanta la propia naturaleza de la personal física como titular de derechos sobre los datos a regular, el apartado cuarto del Reglamento 1720/2007 establece la exclusión con respecto a datos referidos a personas fallecidas, dejando a salvo los derechos de familiares o análogos del fallecido a “dirigirse a los responsables de los ficheros o tratamientos que contengan datos de éste con la finalidad de notificar el óbito, aportando acreditación suficiente del mismo, y solicitar, cuando hubiere lugar a ello, la cancelación de los datos”.

En igual sentido, el artículo 1-2º de la de la Ley 15/1999 y el artículo 4 del Reglamento 1720/2007 establecen una triple exclusión por razón de la actividad en torno a la cual gira la recogida, almacenamiento y tratamiento de datos, tal y como sigue:

----------------------------------------------------

a. A los realizados o mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas.

Sólo se considerarán relacionados con actividades personales o domésticas los tratamientos relativos a las actividades que se inscriben en el marco de la vida privada o familiar de los particulares.

b. A los sometidos a la normativa sobre protección de materias clasificadas.

c. A los establecidos para la investigación del terrorismo y de formas graves de delincuencia organizada. No obstante el responsable del fichero comunicará previamente la existencia del mismo, sus características generales y su finalidad a la Agencia Española de Protección de Datos.
----------------------------------------------------

Además, el artículo 1-3º de la Ley 15/1999 establece un tercer grupo de supuestos que quedan fuera de su regulación, con remisión específica a normativa sectorial, cuando dice:

----------------------------------------------------

3. Se regirán por sus disposiciones específicas, y por lo especialmente previsto, en su caso, por esta Ley Orgánica los siguientes tratamientos de datos personales:

a. Los ficheros regulados por la legislación de régimen electoral.
b. Los que sirvan a fines exclusivamente estadísticos, y estén amparados por la legislación estatal o autonómica sobre la función estadística pública.
c. Los que tengan por objeto el almacenamiento de los datos contenidos en los informes personales de calificación a que se refiere la legislación del régimen del personal de las Fuerzas Armadas.
d. Los derivados del Registro Civil y del Registro Central de penados y rebeldes.
e. Los procedentes de imágenes y sonidos obtenidos mediante la utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad, de conformidad con la legislación sobre la materia.

----------------------------------------------------

Para concluir, podemos citar el artículo 7 de la Ley 15/1999, que establece un conjunto de supuestos en que prima la especial protección de datos que afectan a aspectos especialmente protegidos de la persona humana:

----------------------------------------------------

1. De acuerdo con lo establecido en el apartado 2 del artículo 16 de la Constitución, nadie podrá ser obligado a declarar sobre su ideología, religión o creencias.

Cuando en relación con estos datos se proceda a recabar el consentimiento a que se refiere el apartado siguiente, se advertirá al interesado acerca de su derecho a no prestarlo.

2. Sólo con el consentimiento expreso y por escrito del afectado podrán ser objeto de tratamiento los datos de carácter personal que revelen la ideología, afiliación sindical, religión y creencias. Se exceptúan los ficheros mantenidos por los partidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y otras entidades sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, en cuanto a los datos relativos a sus asociados o miembros, sin perjuicio de que la cesión de dichos datos precisará siempre el previo consentimiento del afectado.

3. Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una ley o el afectado consienta expresamente.

4. Quedan prohibidos los ficheros creados con la finalidad exclusiva de almacenar datos de carácter personal que revelen la ideología, afiliación sindical, religión, creencias, origen racial o étnico, o vida sexual.

5. Los datos de carácter personal relativos a la comisión de infracciones penales o administrativas sólo podrán ser incluidos en ficheros de las Administraciones públicas competentes en los supuestos previstos en las respectivas normas reguladoras.

6. No obstante lo dispuesto en los apartados anteriores, podrán ser objeto de tratamiento los datos de carácter personal a que se refieren los apartados 2 y 3 de este artículo, cuando dicho tratamiento resulte necesario para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios, siempre que dicho tratamiento de datos se realice por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta asimismo a una obligación equivalente de secreto.

También podrán ser objeto de tratamiento los datos a que se refiere el párrafo anterior cuando el tratamiento sea necesario para salvaguardar el interés vital del afectado o de otra persona, en el supuesto de que el afectado esté física o jurídicamente incapacitado para dar su consentimiento.

----------------------------------------------------

(continua)

(continuación)

REGISTRADOS EN SOPORTE FÍSICO

En referencia a la igual consideración de ficheros en soportes automatizados y no automatizados a la hora de aplicar dicha normativa, aunque con disparidad reguladora en cuanto al tratamiento de cuestiones de seguridad reguladas en el Reglamento 1720/2007.

SUSCEPTIBLES DE TRATAMIENTO

Definido en el artículo 4-d del Reglamento 1720/2007, y en referencia a la realización de “operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias”.

MODALIDADES DE USO POR LOS SECTORES PÚBLICO Y PRIVADO

Identificándose con una distinta regulación en relación al tratamiento de dichos datos por responsables público o privados.


CRITERIO GEOGRÁFICO

Como no puede ser de otra manera, nuestra legislación de protección de datos personales debe ser acotada geográficamente en cuanto a su legitimación rectora, siendo el artículo 1-1º de la Ley 15/1999 el que establece la jurisdicción de la misma, disponiendo que:

----------------------------------------------------

a. Cuando el tratamiento sea efectuado en territorio español en el marco de las actividades de un establecimiento del responsable del tratamiento.
b. Cuando al responsable del tratamiento no establecido en territorio español, le sea de aplicación la legislación española en aplicación de normas de Derecho Internacional público.
c. Cuando el responsable del tratamiento no este establecido en territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, salvo que tales medios se utilicen únicamente con fines de tránsito.

----------------------------------------------------


CRITERIO FUNCIONAL

Como es lógico, la recogida, archivo y tratamiento de datos de carácter personal debe hacerse por y para unos objetivos claramente determinados y limitados a fin de evitar situaciones abusivas y lesivas en relación a derechos especialmente protegidos desde el propio texto constitucional, que son además base y fundamento del desarrollo de la propia legislación de protección de datos que estamos examinando.

De este modo, el artículo 12 de la Ley 15/1999 establece en su apartado tercero que “Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento”.

Ello recibe amplio desarrollo en el artículo 8 del Reglamento 1720/2007, que establece los “Principios relativos a la calidad de los datos”:

----------------------------------------------------

1. Los datos de carácter personal deberán ser tratados de forma leal y lícita. Se prohíbe la recogida de datos por medios fraudulentos, desleales o ilícitos.

2. Los datos de carácter personal sólo podrán ser recogidos para el cumplimiento de finalidades determinadas, explícitas y legítimas del responsable del tratamiento.

3. Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos.

4. Sólo podrán ser objeto de tratamiento los datos que sean adecuados, pertinentes y no excesivos en relación con las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.

5. Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado. Si los datos fueran recogidos directamente del afectado, se considerarán exactos los facilitados por éste.

Si los datos de carácter personal sometidos a tratamiento resultaran ser inexactos, en todo o en parte, o incompletos, serán cancelados y sustituidos de oficio por los correspondientes datos rectificados o completados en el plazo de diez días desde que se tuviese conocimiento de la inexactitud, salvo que la legislación aplicable al fichero establezca un procedimiento o un plazo específico para ello.

Cuando los datos hubieran sido comunicados previamente, el responsable del fichero o tratamiento deberá notificar al cesionario, en el plazo de diez días, la rectificación o cancelación efectuada, siempre que el cesionario sea conocido.

En el plazo de diez días desde la recepción de la notificación, el cesionario que mantuviera el tratamiento de los datos, deberá proceder a la rectificación y cancelación notificada.

Esta actualización de los datos de carácter personal no requerirá comunicación alguna al interesado, sin perjuicio del ejercicio de los derechos por parte de los interesados reconocidos en la Ley Orgánica 15/1999, de 13 de diciembre.

Lo dispuesto en este apartado se entiende sin perjuicio de las facultades que a los afectados reconoce el título III de este Reglamento.

6. Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.

No obstante, podrán conservarse durante el tiempo en que pueda exigirse algún tipo de responsabilidad derivada de una relación u obligación jurídica o de la ejecución de un contrato o de la aplicación de medidas precontractuales solicitadas por el interesado.

Una vez cumplido el período al que se refieren los párrafos anteriores, los datos sólo podrán ser conservados previa disociación de los mismos, sin perjuicio de la obligación de bloqueo prevista en la Ley Orgánica 15/1999, de 13 de diciembre, y en el presente Reglamento.

7. Los datos de carácter personal serán tratados de forma que permitan el ejercicio del derecho de acceso, en tanto no proceda su cancelación.



Espero que te sirva la exposición.