Protección de Datos:
Algunas puntualizaciones

por Eva Torrecilla Hernández, Vicepresidenta CGSM

A estas alturas, otro artículo más sobre la Ley de Protección de Datos y el alcance de su normativa de desarrollo, puede parecer reiterativo, sobre todo con los diferentes artículos y dossier, que ya se han publicado en nuestra revista profesional. Pero aún así, creo que todo comentario o aclaración sobre esta materia no es baladí.

Si realizamos un verdadero examen del alcance de esta normativa, y la realidad de los métodos de trabajo, archivos, comunicaciones por Internet, etc. que manejamos y realizamos en nuestros despachos y en nuestro trabajo, nos damos cuenta de que estamos constantemente infringiendo dichas normas, muchas veces de forma inconsciente y con procedimientos rutinarios de trabajo, consensuados o aceptados por todos los implicados en el tratamiento y comunicación de datos.

Como premisa hay que recordar que el objeto de la LOPD, en su artículo 1.-) no es otro que garantizar la protección de datos de carácter personal y el deber del secreto y de la custodia de dicha información, cuando indica … “tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de datos personales, las libertades públicas y los derechos fundamentales de las personas físicas y especialmente de su honor e intimidad personal”.

Los despachos profesionales, así como las empresas, han ido asumiendo la normativa que se ha regulado:

• estableciendo métodos de trabajo y protocolos de actuación, para llevar a cabo la inscripción de ficheros en la Agencia de Protección de Datos
• realizar el documento de seguridad
• el seguimiento de medidas de seguridad
• la elaboración de contratos de cesión de datos a terceros
• la redacción de “pies de página” sobre el alcance de la información solicitada y su tratamiento y toda la documentación, información y formación que hay que desarrollar y trasmitir a todos los trabajadores y en especial a los responsables de seguridad.

Pero aún así, sigo comprobando, que después de diez años de vigencia de la LOPD, muchas empresas y profesionales, no se han adaptado a esta normativa, con los riesgos que supone, el padecer una inspección o denuncia ante la Agencia de Protección de Datos.

El Real Decreto 1720/2007 de 21 de Diciembre, por el que se aprueba el reglamento del desarrollo de la Ley Orgánica 15/1999 de la Ley Orgánica de Protección de Datos, ha venido a dar una mayor claridad sobre la aplicación de esta norma, sobre todo hacia los ficheros y tratamiento de datos no automatizados , abarcando como indica en su exposición de motivos, el ámbito tutelado anteriormente por los Reales Decretos 1332/1994 de 20 de Junio y 964/1999 de 11 de Junio.

En su articulado regula el ámbito de aplicación del reglamento; realiza un listado de definiciones de los conceptos y vocablos que se utilizan en esta especialidad, para ayudar a la mejor comprensión de los mismos; establece los principios de protección de datos y los derechos de acceso, rectificación, cancelación y oposición a su tratamiento; puntualiza los aspectos importantes sobre el tráfico de datos, sobre todo en la publicidad y prospección comercial, fijando las medidas a adoptar en cada caso en base de los niveles de seguridad, que han sido modificados, respecto del anterior Reglamento.

Este Real Decreto, se publicó el 19 de Enero de 2008, entrando en vigor a los tres meses de su publicación, conforme establece la Disposición Final segunda. Si bien, en su disposición transitoria primera, regula un periodo transitorio, en el que actualmente estamos, para la adaptación DE LAS MEDIDAS DE SEGURIDAD.

Aclaración de dudas

Hay que tener en cuenta, que este Reglamento, viene a aclarar las dudas que existían sobre los datos y ficheros a los que es de aplicación, EXCLUYENDO, los datos referidos a personas jurídicas y los ficheros que se limiten a incorporar los datos de las personas físicas que presten su servicios en aquéllas consistentes únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y nº de fax profesionales, es decir, lo que normalmente denominamos una agenda comercial o de contactos, ya sea telemática o en papel.

Así como los datos relativos a empresarios individuales, cuando estén directamente relacionados a la actividad, comercial, industrial o profesional que realicen.

Diferentes consultas efectuadas a la Agencia de Protección de Datos, han confirmado que los datos de empresarios individuales que no tengan organizada una actividad profesional bajo la forma de empresa y los datos que se tratan, son sus datos personales, estarán sometidos a la aplicación de la LOPD, así lo confirma la Sentencia del Tribunal Supremo de fecha 20 de febrero de 2007, aunque estos se utilicen sólo como datos comerciales.

El informe de la Agencia de 14 de febrero de 2006, aclara que en el caso de titulares de negocios, donde la denominación social o el rótulo del establecimiento es el de la persona física, elegido así por intereses comerciales, o por aplicación de normativa mercantil, como ocurre en la Compañías Colectivas, en las Comanditas, en las Comunidades de Bienes, en las Sociedades Limitadas de Nueva Empresa.. etc., no están comprendidos en el ámbito de aplicación de la LOPD, ya que los datos referidos a los empresarios individuales, aparecen exclusivamente ligados a su actividad comercial, mercantil o de facturación. Incluso aclara que como consecuencia de la existencia de una libre decisión empresarial adoptada, se acuerda denominar un establecimiento o la marca de un determinado producto o servicio, con el nombre y apellidos de una persona física, dichos datos, no están sometidos al ámbito de aplicación de la LOPD y de sus reglamentos de desarrollo. (informe jurídico 0158/08 de la Agencia Española de Protección de Datos)

Por ello, a sensu contrario, si a estos ficheros se le incorporan datos personales, fuera del contexto puramente mercantil o comercial, deben ser tratados con las medidas de seguridad que establece la LOPD.

Hay que resaltar, que los niveles de seguridad en este Reglamento, han sido modificados, con respecto al Reglamento anterior, quedando configurados de la siguiente forma, en el artículo 81:

En su punto 2, indica los ficheros o tratamientos de carácter personal de nivel medio, (plazo para su adecuación 19.04.09):

1. Los relativos a la comisión de infracciones administrativas o penales.
2. Aquellos cuyo funcionamiento se rija por el Art. 29 de la LOPD 15/99.
3. Aquellos de los que sean responsables las Administraciones tributarias y se relacionen con el ejercicio de sus potestades tributarias.
4. Aquellos de los que sean responsables las entidades financieras para finalidades relacionadas con la prestación de servicios financieros.
5. Aquellos de los que sean responsables las Entidades Gestoras y Servicios Comunes de la Seguridad Social y se relacionen con el ejercicio de sus competencias. De igual modo, aquellos de los que sean responsables las Mutuas de Accidentes de Trabajo y Enfermedades Profesionales de la Seguridad Social.
6. Aquellos que contengan en su conjunto datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos.

En su punto 3 , indica los ficheros o tratamientos de carácter personal de nivel alto (plazo para su adecuación 19.10.09)

1. Los que se refieren a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual.
2. Los que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las personas afectadas.
3. Aquellos que contengan datos derivados de actos de violencia de género.

En sus puntos 5 y 6, indica que en caso de ficheros o tratamientos de datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual, bastará la implantación de las medidas de seguridad de nivel básico cuando:

1. Los datos se utilicen con la única finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros.
2. Se trate de ficheros o tratamientos no automatizados en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad.
3. Los datos relativos a la salud, referentes exclusivamente al grado de discapacidad, o la simple declaración de la condición de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes públicos.

Esta modificación, incide directamente en los despachos profesionales que gestionan y tratan datos personales, propios o cedidos por terceros, para la realización de nóminas y seguros sociales y la transmisión datos personales a terceros para cumplir las obligaciones tributarias y de seguridad social, o servicios y asesoramiento encargados.

Si la información que contienen estos ficheros, se ajustan a estas obligaciones, y no contienen otros datos accesorios, si no que se limitan a los modelos que tramitamos como son los partes de baja, confirmación o alta expedidos por los servicios de salud, para el único fin de calcular correctamente la nómina, y aplicar las deducciones de pago delegado en los seguros sociales; o los datos sobre porcentaje de discapacidad, o situación familiar para el correcto cálculo del IRPF; el nivel de seguridad a aplicar es el básico .

Las auditorias internas o externas sobre las medidas de protección de datos y las instalaciones, según el Art. 96 del Real Decreto, se deben realizar a partir del nivel medio, con una periodicidad de dos años, cuestión que nos alivia de trabajos y obligaciones con respecto al cumplimiento de esta norma.

El Capítulo IV del Real Decreto que estamos comentando, desarrolla las MEDIDAS DE SEGURIDAD EN LOS FICHEROS NO AUTOMATIZADOS, siendo esta la principal novedad del reglamento, pues abarca a todos los documentos que se tengan en papel y que contengan datos personales, susceptibles de tratamiento, que en los anteriores reglamentos no tenían cabida.

Se han establecido los tres niveles de seguridad a los que estamos acostumbrados, con las mismas implicaciones, e igualmente son acumulativos, es decir, que un nivel superior además de las medidas de seguridad concretas para ese nivel, tiene además que cumplir las medidas establecidas en el nivel o niveles inferiores. (Art. 105)

Se debe nombrar a uno o varios Responsables de Seguridad para los ficheros no automatizados, que pueden ser los mismos que los responsables de seguridad de los ficheros automatizados. (Art.109)

Los archivos en papel, deberán garantizar la correcta conservación de los documentos, su localización, consulta, posibilitando el ejercicio de los derechos de oposición al tratamiento, acceso, rectificación y cancelación. (Art. 106)

Los dispositivos de almacenamiento de los documentos, deberán contener mecanismos que obstaculicen su apertura, si no pudiera adoptarse esta medida, el responsable del fichero tendrá que tomar las medidas que impidan el acceso a los mismos por personas no autorizadas, debiendo estar en zonas en las que el acceso esté protegido con puertas de acceso, dotadas de sistemas de apertura mediante llave u otro dispositivo, permaneciendo cerradas estas zonas, cuando no sea preciso el acceso a los documentos. Siendo responsable de su custodia la persona que esté al cargo, cuando dichos documentos no están archivados, para impedir el acceso de personas no autorizadas (Art. 107, 108 y 111)

La auditoría interna o externa de las medidas de seguridad, se llevará a cabo con una periodicidad de al menos dos años, a partir del nivel medio. (Art.110)

El traslado de la documentación de los archivos o documentos en papel, deberá mantener medidas de seguridad, para impedir el acceso o manipulación durante el traslado por terceros o personas no autorizadas. (Art. 114)

Como vemos, los documentos en papel que contengan datos personales, que hoy por hoy, abarrotan nuestros despachos, deben ser sometidos también a las medidas de seguridad , en aplicación del Real Decreto 1720/07 comentado, obligándonos a cambiar los métodos de trabajo y las medidas de seguridad que ya teníamos adoptadas, realizando de nuevo un documento de seguridad y verificación del nivel de seguridad a aplicar a estos archivos.

En nuestros despachos profesionales y en los departamentos de RRHH, se va a producir la siguiente circunstancia, por un lado que, los ficheros automatizados que tratamos y con los que trabajamos día a día, estén incluidos en el nivel básico, pues los datos personales, se adecuen a las características ya comentadas y relacionadas en dichos niveles, pues se han obtenido conforme indica la legislación y para cumplir las obligaciones que la misma impone (cálculo de nóminas, transferencias, pago delegado, IRPF….). Y por otro que, dentro de la realización de nuestra actividad profesional, tengamos, archivemos y manipulemos, documentos en papel, que contengan información protegida bajo el nivel alto, como pueden ser, datos médicos, cuando estamos llevando materias de reclamación de IP, demandas de accidentes de trabajo; datos de discapacidad, para reclamaciones administrativas o solicitud de prestaciones; datos de afiliación sindical, de religión, de orientación sexual, datos económicos personales,..etc; debiendo entonces adoptar medidas de nivel alto , con lo que esto conlleva, a los efectos de mantener un archivo cerrado, en una zona de acceso restringido, establecer medidas de seguridad para el traslado de dicha documentación (asistencia a juicio, presentación de documentos…) y asegurando la no pérdida de la información y la posibilidad de su recuperación en caso de destrucción o pérdida.

En este punto, tenemos que hablar de las copias de seguridad, que han de estar alojadas en sitios remotos, fuera de nuestro centro de trabajo, para garantizar la recuperación o reproducción de los mismos, en caso de pérdida o destrucción, ya sean, ficheros telemáticos cómo en papel. Las nuevas tecnologías, nos están ayudando día a día, a cumplir estas obligaciones, mediante los accesos a sitios remotos de copias de respaldo , y a la digitalización documental , que nos permite archivar con seguridad los documentos que en papel, manejamos y tratamos, con las garantías de documento original, si en el momento de su digitalización, se firman con la firma digital.

Nuestro Colegio, tiene suscrito un convenio de Colaboración con la entidad ANF–TRADISSE, para poder suministrar esta firma a los colegiados (pág. 48).

Al igual que hay que conservar documentación, en momentos específicos y tal y como establece el Art. 22 del Reglamento, debemos proceder a su destrucción , estableciendo para ello procedimientos específicos, tanto para documentos que contengan datos personales en ficheros automatizados como en formato papel.

Debemos utilizar sistemas y medios que verifiquen que se ha procedido a la destrucción total y correcta de estos ficheros o documentos, mediante la ayuda de máquinas destructoras de papel, o subcontratando este servicio con empresas especializadas en la destrucción, que además certifican que ésta se ha realizado siguiendo los cánones de seguridad.

En muchas ocasiones, con el espíritu de ahorrar papel, utilizamos documentos impresos que en un momento dado ya no son necesarios, para “reciclarlos” y volver a utilizarlos en la impresora, ¡cuidado! si estos documentos que estamos reciclando tienen datos personales, pues al reutilizarlos estaríamos incurriendo en un incumplimiento de las medidas de seguridad, y por tanto sancionable por la AGPD.

Para finalizar este artículo, que lo he centrado en cuestiones muy puntuales, directamente relacionadas con la labor en nuestros despachos, pues el alcance y análisis del conjunto del Reglamento 1720/2007, daría lugar a escribir todo un dossier o super–artículo, que abarcaría toda la revista, recogemos en recuadros diferentes informes publicados por la AGPD, sobre la transmisión, divulgación o cesión de datos personales, que pueden ser interesantes en nuestro trabajo cotidiano, dentro del asesoramiento a empresas o en el departamento de RRHH.

Con la lectura de estas consideraciones, podemos concluir que siguen surgiendo dudas para la correcta aplicación de la normativa sobre Protección de Datos y que el alcance de la misma, debe ser integrado automáticamente en cualquier procedimiento de trabajo donde se traten datos personales.

Informe Jurídico 0413/2008, se refiere a “si la comunicación de los datos laborales de trabajadores en una subcontrata a la empresa principal o comitente, está sujeta a las previsiones de la LOPD 11/1999”.

Dicho informe viene a concluir, que aunque la transmisión de datos de los trabajadores, se realiza bajo el imperativo legal establecido en la normativa, como es el Art. 42.1 y 2, del ET, la Ley de Prevención de Riesgos, y las características de la actual normativa que regula las empresas contratistas y subcontratistas en el sector de la construcción y sobre su Registro como Empresas Acreditadas, debe ampararse en la LOPD, puesto que hay que informar al trabajador de la cesión de datos que se va a efectuar a la empresas subcontratistas o principal, teniendo en cuenta, que los documentos de Tc2, no sólo contienen datos con respecto a afiliación, sino que contienen datos de salud o deducciones por subvenciones que pueda tener el trabajador por su situación laboral y personal.

Igualmente sugiere la AGPD, que para cumplir con la normativa de evitar la responsabilidad de pago de salarios no abonados, se podría acudir a una comunicación mensual, mientras dure la contrata, firmada por los trabajadores afectados a la misma, de que no se les adeuda cantidad alguna en concepto de salario, mejor que estar entregando copias de nóminas o contratos de trabajo, pues contienen en ellos más información que la realmente precisa. Hay que tener en cuenta, que los datos que se transmiten para cumplir con estas obligaciones, deben ser adecuados, pertinentes y no excesivos.

Informe Jurídico 0494/2008, se refiere a “si es necesario para las empresas del grupo consultante, formalizar un contrato con la central , donde se encuentra la base de datos de los empleados del grupo”

El criterio de la Agencia estima que, la existencia de un grupo de empresas, donde las diferentes sociedades están integradas o participadas en el mismo, NO puede permitir que se compartan o transmitan datos personales entre ellas. Este criterio ha sido ratificado por Sentencia del TSJ de Madrid, de la Sección 9ª de la Sala de lo Contencioso–Administrativo de fecha 16.10.2000, pues cada una de las empresas que integran el grupo, es responsable del fichero de datos de sus correspondientes empleados, notificando éstos a la AGPD, y recabando el consentimiento de los empleados, para que sus datos sean tratados por la empresa principal del grupo y realizando entre las mismas, el preceptivo contrato de cesión de datos con el alcance del fin para el que se establece y el método o procedimiento de destrucción de los datos personales, cuando se haya cumplido la necesidad por el que se generó dicha transmisión.

Informe Jurídico 0574/2008, se refiere al nivel de seguridad aplicable a un fichero de personal que contenga las copias de las comunicaciones realizadas a la Administración , en aplicación a la OMTASS de 16 de diciembre de 1987, mediante formulario en el que aparece la lesión sufrida por el trabajador

A este respecto, la Agencia ya ha señalado en otros informes, como el de 1 de julio de 2008, …. “en consecuencia de lo señalado en el presente informe cabe concluir que será la aplicación de la previsión contenida en el Reglamento de desarrollo de la LOPD, respecto de las medidas de seguridad del nivel básico:

• La mera indicación del grado o porcentaje de la minusvalía del afectado o de los miembros de su unidad familiar, a los efectos previstos para el cálculo de retenciones en la normativa reguladora del IRPF.
• La indicación de “apto” o no “apto” de un trabajador/a a los efectos previstos en la Ley de Prevención de Riesgos Laborales,
• Los datos relacionados, con las obligaciones impuestas al empresario por la legislación vigente en materia de seguridad social, que se limiten a señalar únicamente la existencia o no de IT por EC o EP o AT laboral o no laboral.

Pero si el fichero contuviera información sobre datos relacionados con los resultados de acciones de vigilancia de la salud, o del alcance de su enfermedad o accidente, se deberá implantar las medidas de seguridad de nivel alto.

Bajo esta misma premisa el informe, aclara que “ Toda revelación de datos realizada a persona distinta del interesado”, es una cesión de datos , y como tal, sujeta a la protección de la LOPD, tan solo según el Art. 11.1, “los datos de carácter personal objeto del tratamiento solo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario, con el previo consentimiento del interesado”, quedando esta regla exceptuada en los supuestos establecidos en el Art. 11.2, que se refiere: en su apartado a) a aquellos casos en que una norma con rango de Ley, dé cobertura a la cesión; o lo previsto en el apartado c) cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros…

Este informe además resuelve si es legítima o no, la cesión de datos económicos o de otra índole a los representantes sindicales.

La Agencia establece, que únicamente podrá entenderse amparada esta cesión de datos, en caso de que se produzca en el ámbito de las funciones desarrollas por los Delegados de Personal o el Comité de Empresa, al estar reconocido en el Estatuto de los Trabajadores, el derecho a los representantes de los trabajadores para acceder a determinados datos de los trabajadores, en el ámbito de sus competencias, limitándose la información facilitada y cedida, a la finalidad de control que el Art. 64 del ET les atribuye, y con las obligaciones de sigilo y no divulgación a las que están sujetos. En caso contrario, será siempre necesario el consentimiento del trabajador.

Informe Jurídico 6/2009, sobre la adecuación a la normativa de protección de datos, por la instalación de cámaras de videovigilancia en un centro de trabajo.

La AGPD, tiene en consideración la instrucción 1/2006 de 8 de noviembre de la AGPD, que establece “que el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa”, así como el alcance del Art. 20 del ET, y la doctrina del Tribunal Supremo, en Sentencia de 18 de Junio de 2006, que para la utilización de Internet y correo electrónico, debe haber constancia expresa de la información realizada al trabajador para el uso de estas herramientas.

Por ello, indica, que la aplicación del Art. 20.3 del ET, no legitima por sí el tratamiento de imágenes, si bien, es posible realizarlo, aún sin contar con el consentimiento del trabajador; pero sí debe haber sido informado de la existencia de dicha medida de videovigilancia y que los datos no podrán ser utilizados para fines distintos a los que dieron lugar a la instalación de las cámaras (Art. 4.2 y Art. 5 de la LOPD) y cómo no, la comunicación a los representantes de los trabajadores conforme establece el Art. 64 del ET, debiendo a tal fin:

1. Colocar, en las zonas videovigiladas, al menos un distintivo informativo ubicado en lugar suficientemente visible, tanto en espacios abiertos como cerrados
2. Tener a disposición de los/las interesados/as impresos en los que se detalle la información prevista en el Art. 5.1 de la LOPD.