1. ¿Qué es la protección de datos personales?
Bajo el concepto de protección de datos personales se incluye un conjunto de técnicas jurídicas e informáticas encaminadas a garantizar los derechos de las personas sobre el control de su información personal y sobre la confidencialidad, integridad y disponibilidad de esta.
En España los datos personales reciben la máxima protección, puesto que la Constitución española misma garantiza el derecho fundamental a controlar los datos en su artículo 18.4. El desarrollo normativo de este derecho se ha producido mediante la Ley Orgánica 15/1999 y el conjunto de normas que la desarrollan.
2. ¿Cuál es el objeto de la Ley Orgánica de protección de datos?
La Ley Orgánica tiene por objeto garantizar y proteger, en cuanto al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar.
3. ¿Qué es un dato personal? ¿Qué datos están sujetos a la LOPD?
Se considera dato de carácter personal cualquier información relativa a una persona física identificada o identificable. Así, son datos personales el nombre y los apellidos, el DNI, un número de cuenta bancario, la titulación que cursa una persona determinada, su condición de discapacitada, su fotografía o una grabación de su voz, entre otras.
Si estos datos se encuentran en un apoyo informático y son objeto de tratamiento, están sujetos a la LOPD. Por otro lado, los principios de la LOPD también se aplican a los datos contenidas en apoyo papel.
4. ¿La utilización de datos personales públicos o conocidos está exenta de la aplicación de la Ley Orgánica 15/1999?
La condición pública o privada de los datos no es relevante para establecer la aplicabilidad de la LOPD. El Tribunal Constitucional ha declarado en el STC 292/2000 que el derecho fundamental a la protección de datos afecta tanto los datos privados como las públicas. El que es relevante es la existencia de tratamiento y la finalidad con que se hace. Así, cuando se trato, por ejemplo, de una lista de personas utilizada para actividades exclusivamente personales o domésticas no se aplicará la Ley. Ahora bien, si esta lista la utilizamos para difundir información propia de la Universidad, se encontraría sujeta a la LOPD.
5. ¿Qué es un fichero?
Un fichero es un conjunto organizado de datos de carácter personal, independientemente de cuál sea la forma o modalidad de creación, almacenamiento, organización y acceso.
La Ley Orgánica se aplica a cualquier fichero que contenga datos relativos a personas físicas con independencia del apoyo en que se encuentran, siempre que las haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por el sector público y el privado.
6. ¿Los datos contenidos en un documento de un procesador de textos como Word o en formato PDF, son un fichero?
Si estos datos las empleamos para hacer un tratamiento concreto, por ejemplo para imprimir etiquetas, con una finalidad determinada, se encuentran sujetas a la LOPD. El programa que se utiliza no es relevante ni excluye la aplicación de la legislación vigente.
7. Tengo una libreta con direcciones de correo electrónico de mis amigos, contactos, etc. ¿Se encuentra sujeta a la LOPD?
No, cuando se trate de una lista de nombres, apellidos, direcciones físicas o electrónicas que se utilizan con hasta privados. Ahora bien, cuando esos datos se emplean para hasta propios de la Universidad como por ejemplo hacer envíos de información sobre actividades, etc. se tendrá que aplicar la LOPD.
A tal efecto tiene que consultarse el procedimiento para la creación de ficheros de datos disponible en Solicitudes y formularios
8. ¿Hay algún fichero exento de la aplicación de la aplicación de la Ley Orgánica 15/1999?
La ley distingue entre casos en que no es de aplicación y supuestos que se rigen por su normativa específica:
No és de aplicación a:
- a) Ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas.
- b) Ficheros sometidos a la normativa sobre protección de materias clasificadas.
- c) Ficheros establecidos para la investigación del terrorismo y de formas graves de delincuencia organizada.
Se rigen por su normativa específica y por el que se prevé especialmente, si procede, por la Ley Orgánica 15/1999 los siguientes tratamientos de datos personales:
- a) Los ficheros regulados por la legislación de régimen electoral.
- b) Los que sirvan a hasta exclusivamente estadísticos, y estén amparados por la legislación estatal o autonómica sobre la función estadística pública.
- c) Los que tengan por objeto el almacenamiento de los datos contenidos en los informes personales de calificación a que se refiere la legislación del régimen del personal de las Fuerzas Armadas.
- d) Los derivados del Registro Civil y del Registro Central de penados y rebeldes.
- e) Los procedentes de imágenes y sueños obtenidos mediante la utilización de videocámaras por las fuerzas y los cuerpos de seguridad, de acuerdo con la legislación sobre la materia.
9. ¿Puedo crear libremente una base de datos?
Las administraciones públicas, como responsables de ficheros de titularidad pública, tienen que aprobar la disposición de regulación pertinente de sus bases de datos y publicar en un Diario Oficial el fichero previamente al inicio de la recogida de datos y por lo tanto del uso de este.
La Universidad ha establecido un procedimiento para la creación de ficheros de datos disponible en la red que comporta una declaración previa de la existencia del fichero y su necesidad. Se puede acceder a Solicitudes y formularios.
10. ¿Qué principios rigen el tratamiento automatizado de datos personales?
El tratamiento de datos se rige por el que se prevé en el Título II de la Ley Orgánica 15/1999, relativo a los 'Principios de la protección de datos'. Este título regula, entre otros, la calidad de los datos, el derecho a la información en la recogida de datos, el consentimiento del afectado, la seguridad de los datos, el deber de secreto y las condiciones para llevar a cabo comunicaciones de datos.
11. ¿Qué supone el principio de calidad de los datos?
Este principio comporta el deber de tratar los datos con veracidad, con lealtad respecto del afectado y con pleno respecto a la legalidad. En tal sentido, sólo será posible recoger y tratar datos cuando sean adecuadas, pertinentes y no excesivas en relación con el ámbito y las finalidades determinadas, explícitas y legítimas por qué se hayan obtenido.
Por otro lado, el tratamiento de los datos sólo podrá hacerse para la finalidad prevista o, en todo caso, con hasta históricos, estadísticos o científicos. Los datos de carácter personal se cancelarán cuando hayan dejado de ser necesarias o pertinentes para la finalidad para la cual se habían procurado o registrado. La finalidad determina, así mismo, el periodo temporal de conservación de los datos que no se conservarán en forma que permita la identificación del interesado durante un periodo superior al necesario para los fines en base a los cuales se habían procurado o registrado.
Los datos de carácter personal serán exactos y puestas al día de forma que respondan con veracidad a la situación actual del afectado. En caso de inexactitud, error, etc. serán canceladas y sustituidas de oficio por los datos rectificados o completadas correspondientes, sin perjuicio del ejercicio de los derechos de acceso, rectificación o cancelación por parte del titular de los datos.
Por último, los datos de carácter personal se almacenarán de forma que se permita el ejercicio del derecho de acceso, excepto si son canceladas legalmente.
12. ¿Qué obligaciones impone el derecho a la información en la recogida de datos personales?
La información en la recogida de datos resulta esencial para garantizar al ciudadano el conjunto de los derechos que la Ley Orgánica 15/1999 le otorga y asegurar que, si procede, el consentimiento de aquel resulto realmente libre e informado. Así, en principio tiene que informarse previamente de manera precisa, expresa e inequívoca:
- a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de estas y de los destinatarios de la información.
- b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que se le plantean.
- c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlas.
- d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
- e) De la identidad y dirección del responsable del tratamiento o, si procede, de su representante.
13. ¿Cómo es debido informar en la recogida de datos?
Se puede informar de varias maneras. Se pueden emplear carteles, publicar la información en la recogida de datos en las bases que forman parte de convocatorias públicas que comportan la recogida de datos destinados a un fichero o incluirse en impresos o formularios entre otras posibilidades. Cuando se utilizan cuestionarios o imprimidos la información figurará de manera claramente legible.
En cualquier caso, no se tiene que olvidar la obligación legal previa de publicación del fichero en el Diario Oficial que corresponda y de inscribir esa base de datos en el Registro General de la AEPD antes de utilizarlo.
14. ¿Puedo omitir alguna información?
La Ley Orgánica 15/1999 permite no informar sobre el carácter obligatorio o facultativo de la respuesta a las preguntas que se plantean, las consecuencias de la obtención de los datos o de la negativa a suministrarlas y de la posibilidad de ejercer los derechos de acceso, rectificación, cancelación y oposición si el contenido de esta información se deduce claramente de la naturaleza de los datos personales que se solicitan o de las circunstancias en que se piden. No obstante, en la medida en que estamos en el ámbito de los derechos fundamentales, es razonable que la información resulto tan completa como sea posible y que llego incluso a las comunicaciones de datos previstos.
15. Cuando los datos no provengan del interesado, ¿lo tengo que informar?
Este no es un supuesto muy frecuente en la Administración. Si se da, el responsable del fichero o su representante tendrá que informar el interesado de manera expresa, precisa e inequívoca, dentro de los tres meses siguientes al momento del registro de los datos, excepto si ya hubiera sido informado con anterioridad del contenido del tratamiento, de la procedencia de los datos, así como de la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de estas y de los destinatarios de la información, de la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición y de la identidad y dirección del responsable del tratamiento o, si procede, de su representante.
La Ley Orgánica 15/1999 exime de esta obligación cuando expresamente una ley lo prevea, cuando el tratamiento tenga hasta históricos, estadísticos o científicos, o cuando la información al interesado resulto imposible o exija esfuerzos desproporcionados, a criterio de la Agencia de Protección de Datos o del organismo autonómico equivalente, en consideración al número de interesados, a la antigüedad de los datos y a las posibles medidas compensatorias. Y también, aunque no se trata de un supuesto que afecto normalmente las administraciones públicas cuando los datos procedan de fuentes accesibles al público y se destinan a la actividad de publicidad o prospección comercial, caso en que, en cada comunicación que se dirija al interesado, se lo informará del origen de los datos y de la identidad del responsable del tratamiento, como también de los derechos que lo asisten.
16. ¿Qué es una comunicación de datos?
Según la LOPD, comunicar datos supone revelarlas a una persona distinta del interesado. Por lo tanto, habrá una comunicación cuando se facilito el acceso a los datos por cualquier medio como la visualización en pantalla, copia, telecopia, fotocopia, etc. En este sentido, habrá también una comunicación cuando los datos se publican en una web.
17. ¿Cuándo puedo comunicar datos?
Para saber cuando es posible comunicar datos hay que atender a disposición de publicación del fichero. De forma que sólo cabrán comunicaciones en los supuestos que se prevén.
Además, será posible comunicar datos:
- Cuando la comunicación que se tenga que efectuar tenga por destinatario el Defensor del Pueblo, el Ministerio Fiscal o los jueces o tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco será necesario el consentimiento cuando la comunicación tenga como destinatario instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas
- Cuando la cesión de datos de carácter personal relativas a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para llevar a cabo los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica.
La LOPD prevé otros supuestos. Aún así, es preferible que en caso de duda se consulta a martiner@uv.es
18. El acceso a los datos por parte del personal de una unidad administrativa distinta de la que gestiona el fichero, ¿es una comunicación de datos?
No, no constituye una comunicación de datos. Ahora bien, el acceso a la información estará limitado por la finalidad para la cual se solicitan los datos. Esa finalidad tendrá que ser coherente con las funciones que se lleven a cabo y las propias finalidades del fichero.
19. ¿Puedo encomendar a un tercero el tratamiento de datos personales?
Hay varios supuestos en que la naturaleza de las tareas que hay que desarrollar exige acudir a la contratación de servicios por un tercero. Así por ejemplo, la realización de envíos con un número elevado de destinatarios a través de empresas especializadas, la digitalización de actas o el uso de terceros para la remisión de revistas científicas a listas de subscriptores suponen que la empresa que presta el servicio accede a datos personales como un nombre, una dirección o una calificación académica. En este tipo de supuestos, y tratándose de datos personales contenidos en un fichero automatizado la titularidad del cual corresponda en la Universidad, la Ley Orgánica 15/1999 impone en su artículo 12 la obligación de establecer un contrato para el acceso a los datos por cuenta de terceros.
El objeto del contrato no es otro que la imposición de condiciones que garanticen que el tercero respetará la finalidad del tratamiento que se le encomienda, así como la confidencialidad de la información que se le confía. Por otro lado, la firma del contrato traslada a la empresa contratada la responsabilidad por las infracciones que pudiera cometer en el desarrollo de su actividad.
Si tenéis tal necesidad, dirigíos a martiner@uv.es
20. ¿Es necesario el consentimiento de la persona de quien se toman los datos para el tratamiento de éstas?
La regla general de la LOPD es que el tratamiento de datos de carácter personal requiere el consentimiento previo, libre e informado del titular de los datos. Sin embargo, los datos podrán tratarse sin consentimiento del titular cuando haya una relación jurídica que comporto tal tratamiento, cuando las pido y utilizo una Administración en el ejercicio de funciones públicas, cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado o cuando los datos figuran en fuentes accesibles al público.
21. ¿Qué derechos corresponden a las personas titulares de los datos incluidos en mi fichero?
Los titulares de los datos tienen los derechos de oposición al tratamiento, el acceso, la rectificación y la cancelación. Se trata de derechos de carácter personalísimo, de forma que sólo pueden ser ejercitados por el titular de los datos excepto en los supuestos de incapacidad o minoría de edad, en que podrá ejercerlos quién tenga la patria potestad o representación legal.
Para una descripción completa del procedimiento que hay que seguir, ver Solicitudes y formularios.
22. ¿Qué obligaciones impone la LOPD a los usuarios de ficheros?
Los usuarios de ficheros tienen que tratar los datos exclusivamente para las finalidades determinadas, explícitas y legítimas para las cuales se hayan obtenido. La información se utilizará con lealtad y con pleno respecto de la legalidad.
Así mismo se guardará secreto respecto de las informaciones a que se acceda y se adoptarán las medidas de seguridad que se hayan establecido.