PROTECCIÓN DE DATOS

PROTECCIÓN DE DATOS PERSONALES 

 

LEY ORGÁNICA DE PROTECCIÓN DE DATOS (LOPD)

El progresivo desarrollo de la sociedad, de la información y la expansión de la informática y de las telecomunicaciones plantean nuevas amenazas para el derecho a la privacidad que han de ser afrontadas desde diversos puntos de vista: social, cultural, legal, tecnológico, etc.

El derecho fundamental a la protección de datos reconoce al ciudadano la facultad de controlar sus datos personales, y la capacidad para disponer y decidir sobre los mismos.

Precisamente esta protección es el objetivo de la previsión de contenidos en el artículo 18.4 de la Constitución y al cumplimiento de este objetivo responde la actual LOPD, Ley Orgánica 15/99 de 13 de diciembre, de protección de datos de carácter personal.

Obligaciones de la LOPD
La LOPD obliga a todas las empresas y entidades que traten datos de carácter personal a...

• Legitimación: obligación de informar al afectado de la existencia de ficheros con sus datos personales y obtener su consentimiento si procede.
• Legalización: obligación de notificación e inscripción registral de los ficheros existentes.
• Protección: obligación de adoptar las medidas de seguridad necesarias que garanticen la confidencialidad de dichos datos.

MEDIDAS DE SEGURIDAD

Seguridad de los ficheros

• Responsabilidad: el responsable del fichero deberá adoptar las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos recabados.
• Documentos de seguridad: el responsable del fichero elaborará e implantará la normativa de seguridad mediante un documento de obligado cumplimiento para el personal con acceso a los datos automatizados de carácter personal y a los sistemas de información.

Niveles de seguridad

Tres niveles de seguridad atendiendo a la naturaleza de la información tratada, en relación con la mayor o menor necesidad de garantizar la confidencialidad y la integridad de la información.

• Básico: todos los ficheros que contengan algún tipo de datos de carácter personal.
• Medio: infracciones administrativas o penales, Hacienda Pública, servicios financieros, conjuntos de datos de carácter personal que permitan obtener una evaluación de la personalidad del individuo.
• Alto: ideología, religión, creencias, origen racial, salud o vida sexual, datos recabados para finales policiales.

Sanciones

Leves: 600 a 60.000 euros. 

• Por no atender las solicitudes de rectificación y/o cancelación de afectados cuando proceda.
• No facilitar la información requerida por la AEPD en el ejercicio de sus competencias.
• No inscribir los ficheros en el RGPD. 
• Proceder a la recogida de datos sin informar convenientemente. 
• Incumplir el deber de secreto.

Graves: 60.000 a 300.000 euros. 

• Por creación de ficheros con finalidades distintas de las que constituyen el objeto legítimo de la empresa.
• Proceder a la recogida de datos sin recabar el consentimiento, cuando éste sea requerido, tratar los datos o usarlos posteriormente conculcando alguno de los principios y garantías de la LOPD. 
• El impedimento de los ejercicios de acceso y/o oposición y la negativa a facilitar la información facilitada.
• Mantener datos inexactos o no efectuar las modificaciones solicitadas por los afectados.
• Vulnerar el deber de secreto sobre datos en ficheros relativos a infracciones administrativas, datos de la hacienda pública, servicios financieros, servicios de solvencia patrimonial y crédito, y ficheros con datos suficientes que permitan la extracción de perfiles o evaluación de personalidad. 
• Mantener los ficheros locales o programas sin las debidas condiciones de seguridad reglamentadas.
• No remitir a la AEPD las notificaciones previstas por LOPD y no proporcionar a ésta los documentos o información solicitadas.
• La obstrucción a procesos de inspección.
• No inscribir el fichero en el RGPD cuando haya sido requerido por la AEPD. 
• Incumplir el deber de información cuando los datos han sido recabados por un tercero.

Muy graves: 300.000 a 600.000 euros.

La recogida de datos de forma engañosa y fraudulenta.

• La comunicación o cesión de datos fuera de los casos en que esté permitido
• Recabar datos de ideología, creencias religiosas o afiliación sindical sin consentimiento expreso del afectado. Recabar datos de origen racial, salud o vida sexual cuando no lo disponga una Ley o no haya consentimiento expreso del afectado.
• Crear ficheros con la finalidad exclusiva de recabar datos de ideología, afiliación sindical, religión, creencias, vida sexual, origen racial.
• No cesar en el uso ilegítimo de ficheros cuando sea requerido por la AEPD.
• La transferencia temporal o definitiva de datos a países destino que no proporcionen un nivel de protección equivalente sin autorización de la AEPD.
• Tratar los datos de carácter personal con menosprecio o de forma ilegítima cuando se atente contra los derechos fundamentales.
• Vulnerar el deber de secreto sobre datos de ideología, creencias religiosas, afiliación sindical, origen racial, salud y vida sexual.
• No atender de forma sistemática el deber legal de notificación de la inclusión de los datos de carácter personal en un fichero.

Además la Agencia Española de Protección de Datos es la autoridad de control independiente.

Las compañías aseguradoras tienen en su poder y tratan de manera automatizada datos personales de singular importancia.

Por ejemplo, los datos de carácter financiero, los datos sobre la salud del asegurado, especialmente protegidos por la Ley.

Por esta razón las compañías aseguradoras se preocupan en cumplir adecuadamente la legislación sobre protección de datos.

Importante: Existen sanciones de hasta 600.000 euros por la recogida y uso de forma engañosa o fraudulenta de los datos de carácter personal.

Por otra parte la Agencia Española de Protección de Datos también muestra una especial atención a estas compañías y realizan sobre ellas estudios específicos debido a la importancia de los datos que se están tratando  y sobre todo, por como se están recogiendo estos datos en los últimos años a través de Internet.

Además, las compañías, por su condición del sector financiero, tienen la obligación de someterse con periodicidad bi-anual a una auditoria de datos que deberá estar a disposición de la Agencia.

Nueva normativa en la Ley de Protección de Datos.

A partir de mayo de 2018 entró en vigor el nuevo reglamento de protección de datos, el Reglamento General de Protección de Datos (RGPD). Todo aquel que tenga un CIF (Código de Identificación Fiscal) y trabaje con datos de terceros deberá cumplir la nueva normativa adaptándose a una serie de requisitos:

• Aumento de los controles sobre proveedores con acceso a datos.
• Anulación "de facto" del consentimiento implícito y se implantación de un consentimiento implícito y también un consentimiento expreso y explícito real.
• Crear la figura del Delegado de Protección de Datos (DPD) obligatoria para las entidades públicas y aquellas empresas con gestión de los datos personales crítica.
• Se reforzarán los derechos de las personas: derecho al olvido, con la eliminación de los datos de los usuarios, derecho de portabilidad, que permite llevar los datos de un proveedor a otro, y el derecho de oposición a que se hagan perfiles con objetivos de marketing con la información de los usuarios.

¿Qué son los datos de carácter personal?

Se entiende por datos de carácter personal cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables.
Para ser considerados datos de carácter personal deben estar vinculados a una persona identificable.

¿Qué es una persona identificable?

Toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier información referida a su identidad física, fisiología, psíquica, económicamente cultural o social. Una persona física no se considerará identificable si dicha identificación requiere plazos o actividades desproporcionadas.

¿Qué es el soporte físico o fichero?
Conjunto organizado de datos de carácter personal, cualquiera que sea la forma de creación, almacenamiento, organización y acceso.

Tratamiento de datos
Operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos.

Responsable del fichero
Persona física o jurídica, de naturaleza pública u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.

Encargado del tratamiento

La persona física o jurídica, autoridad pública , servicio o cualquier organismo que, solo o conjuntamente con otros, trata los datos personales por cuenta del responsable del tratamiento.

Tratamiento de datos personales

• Datos adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas para las que se hayan obtenido.
• Los datos no podrán usarse para finalidades incompatibles con aquellas para las que hubieran sido recogidos.
• Necesidad de detallar la finalidad y usos previstos de dichos datos.
  

Tratamiento de datos por terceros

• El responsable del Fichero podrá designar a un tercero para el tratamiento de los datos recopilados 
• El acceso de un tercero a los datos para la prestación de un servicio al responsable del fichero no se considerará comunicación de datos.
• El tratamiento de datos por terceros deberá estar regulado en un contrato.
• No podrán ser utilizados para fines distintos a los establecidos en dicho contrato.
• El contrato estipulará las medidas de seguridad que el encargado está obligado a adoptar.
• Terminada la prestación contractual, los datos deben ser destruidos o devueltos al responsable del fichero.
• En caso de destinar los datos a finalidades distintas a las reflejadas en la relación contractual, el encargado del tratamiento será considerado también responsable del fichero, respondiendo a las infracciones en que haya podido incurrir.

Por otra parte, existen casos en los que no procede aplicar la LOPD:

• No se aplica al tratamiento de imágenes en el ámbito personal y doméstico, entendiéndose por tal el realizado por una persona física en el marco de una actividad exclusivamente privada o familiar. Ejemplo: Grabaciones realizadas en el contexto de un viaje turístico o en una celebración familiar.
• Al tratamiento de imágenes por los medios de comunicación en el ejercicio legítimo de los derechos que les confiere el artículo 20 de la Constitución Española. Ejemplo: la emisión de un informativo de televisión o la edición de un periódico.

Información al afectado

• Los interesados a los que se soliciten datos personales deben ser previamente informados de:
• La existencia del fichero de datos de carácter personal 
• La finalidad de la recogida de dichos datos
• Los destinatarios de la información
• El carácter obligatorio o facultativo de sus respuestas
• Las consecuencias de la obtención de los datos o de su negativa a suministrarlos.
• La posibilidad de ejercitar los derechos de acceso, rectificación y cancelación.
• La identidad del responsable del tratamiento.

Los interesados deben ser informados en el momento de la recogida de datos, o bien en el plazo de tres meses si los datos no provienen directamente del interesado.

Se deberá informar al afectado de los derechos de acceso, rectificación y cancelación y del procedimiento para ejercerlos.

Consentimiento del afectado

El tratamiento de datos de carácter personal requiere el Consentimiento previo del afectado, excepto:

• Cuando se recojan en el ejercicio de las funciones propias de las Administraciones Públicas.
• Cuando se refieran a las partes de un contrato de una relación negocial , laboral y administrativa y sean necesarios para su mantenimiento o cumplimiento.
• Cuando tengan por finalidad proteger un interés vital del interesado
• Cuando figuren en fuentes accesibles al público y su tratamiento sea necesario para intereses legítimos del responsable del fichero.

Derecho de acceso 

El interesado tendrá derecho a solicitar y obtener información de sus datos personales sometidos a tratamiento.
El interesado puede dirigirse al titular del fichero para conocer los datos que sobre él tienen en el mismo. De esta manera podrá obtener una información exacta y precisa sobre sus datos de carácter personal o, de no existir información sobre él, podrá conocer esta circunstancia.

Derecho de oposición

En este caso, el interesado, que inicialmente aceptó que sus datos fueran tratados con diversas modalidades, puede revocar este consentimiento manifestando que en lo sucesivo los datos no deberán ser tratados con otras finalidades distintas de aquéllas cuyo tratamiento es imprescindible.

Si los datos fueron comunicados con anterioridad, el responsable del tratamiento deberá notificar la rectificación o cancelación a quien haya cedido los datos.

Derecho de rectificación

El responsable del tratamiento está obligado a informar, rectificar o cancelar dichos datos en el plazo de 10 días.
Si los datos que se encuentran en un fichero son inexactos o incompletos, el interesado podrá ejercer su derechos de rectificación.

Derecho de cancelación

Si los datos son correctos pero ya no son necesarios para la finalidad para la que fueron tratados, lo que procede es el ejercicio del derecho de cancelación.

Sin embargo, la cancelación no implica el borrado de los datos personales, sino su bloqueo, conservándose únicamente a disposición de las autoridades administrativas o judiciales.

Antecedentes de la Protección de Datos

• 1978: Constitución Española (art.18.4) "limitar el uso de la informática para garantizar el honor, la intimidad personal y familiar de los ciudadanos, y el legítimo ejercicio de sus derechos"
• 1992: LORTAD Ley Orgánica de Regulación de Tratamiento Automatizado de Datos de Carácter  Personal.
• 1995: Directiva 95/46/CE. Directiva sobre Protección de Datos de la Comisión Europea.
• 1999: LOPD Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (14-12-1999)

A tener en cuenta

Cesión de datos a ficheros comunes

Según la Ley de Contrato de Seguro, una vez extinguido el contrato, los datos deben conservarse:

• 2 años en el caso de los seguros de cosas
• 5 años en el caso de los seguros de personas

Por otro lado si los datos se recogen para enviar información sobre productos y servicios de la compañía es lógico que no se borren, aunque esta razón debe especificarse en la cláusula de la recogida de datos.

Actualmente las medidas de seguridad sobre los datos personales se rigen por el Reglamento de desarrollo de la LOPD

El principio de seguridad de datos impone al responsable del fichero adaptar las medidas de índole técnico y organizativo, necesarios que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado.

Por ello se debe tener  cada política de seguridad de la empresa, y más concretamente a:

• La infraestructura de los ficheros
• Las medidas adoptadas para garantizar el nivel de seguridad debido.
• Las obligaciones del personal.

A tener en cuenta: las empresas deben educar al personal en materia de seguridad informática y darles a conocer sus obligaciones, sobre todo el deber de confidencialidad, las funciones del responsable de seguridad, y, en general a cuantas decisiones afecten a la seguridad de los datos de la empresa.

Dentro de las aseguradoras existen ciertas particularidades de la LOPD que es importante destacar y definir más ampliamente como los referidos a:

• Mediadores de seguros
• Recogida de datos
• Comunicación de la primera cesión de los datos
• Cesión de los datos a ficheros comunes.

Las corredurías y demás mediadores de seguros, como entidades del sector financiero, comparten determinadas obligaciones en el tratamiento de los datos de carácter personal.

A los efectos previstos en la LOPD, los corredores de seguros y los corredores de reaseguros tendrán la condición de responsables del tratamiento respecto de los datos de las personas que acudan a ellos.

Por ello deberán implantar medidas de seguridad también entre sus corredores y mediadores de seguros.

Los datos deberán ser conservados en las relaciones contractuales entre el responsable del tratamiento y el interesado.

El deber de información a las personas de las cuales se vayan a obtener cualquier tipo de datos de carácter personal, previo al tratamiento de dichos datos, es uso de los principios fundamentales sobre los que se asienta la LOPD.

Por ello, el responsable del fichero, a la hora de recoger los datos personales, tiene el deber de informar al titular de: 

• Que sus datos van a ser tratados de forma automatizada
• La finalidad para la que se recogen
• El carácter obligatorio o no de su suministro
• La posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición
• La identidad y dirección del responsable del tratamiento.

Si asegurado y beneficiario no coinciden con el tomador, este hecho no exonera del deber de informar de los mismos, que puede hacerse en un plazo de tres meses o bien incluyendo una cláusula en al póliza por la cual la obligación de informar seria del tomador.

En el proceso de recogida de datos personales nos podemos encontrar con una serie de inconvenientes, los más frecuentes son: 

SITUACIÓN I

Recogida de datos del tomador en caso de contratación telefónica o por internet

Cuando los datos se recogen a través del teléfono o por internet, no es imprescindible que en ese mismo momento se comuniquen los derechos que les asiste al usuario LOPD, puesto que se puede notificar posteriormente en la remisión de la póliza, cuando se le envíe, siempre y cuando sea el plazo de tres meses.

Se puede plantear un problema a la hora de recoger los datos para la elaboración de un presupuesto sin compromiso.

SOLUCIÓN I

En este caso se deben comunicar los derechos que le asisten al usuario en el momento de la conversación telefónica o bien enviándole una carta en los tres meses siguientes.

SITUACIÓN II

Recogida de datos del asegurado y el beneficiario cuando éstos no coinciden con él.

Cuando existen dentro de la póliza de personas que no son las que han suscrito el contrato (tomador), pero pueden asumir las consecuencias (asegurado) o tener derecho a percibir indemnizaciones (beneficiario) se deberán tratar de forma automatizada los datos, y por lo tanto, hay que informar a tal efecto.

SOLUCIÓN II

En este caso se debe cumplir con los siguientes requisitos:

• Informar a los tribunales de los datos de que los mismos se han incorporado a un fichero en el plazo de tres meses desde su recogida.
• Insertar una cláusula dentro del impreso de recogida, donde quede implícita la comunicación de tal efecto al tomador del seguro (esta suele ser la forma más habitual).

SITUACIÓN III

Recogida de datos de terceros por el asegurado para la gestión de un siniestro

Cuando se produce un siniestro, hay ocasiones en las que es el asegurado quien proporciona a la compañía de datos de terceros implicados en el mismo, por lo que deben ser informados de ello.

SOLUCIÓN III

Para tal circunstancia, se utiliza un impreso normalizado en el parte que el tercero implicado debe firmar, y produciéndose la comunicación implícita. En el caso de que no se firme dicho impreso será necesario efectuar las comunicaciones mencionadas en el plazo de tres meses a partir de la recogida de datos.

Cesiones o comunicaciones de datos
Sólo podrán comunicarse datos personales a terceros para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario "con el consentimiento previo del afectado".

Notificación de la comunicación de la primera cesión de los datos.

La regla general es que la cesión ha de ser en todo caso consentida por el titular de los datos. Pero además, que el responsable del fichero en el momento en que se efectúe la primera cesión de los datos, informe de ello al titular.

Pero podemos encontrarnos con tres excepciones al requisito del consentimiento en la primera cesión de datos.

• Cuando la cesión es necesaria para el mantenimiento o cumplimiento del contrato.
• Cuando la cesión es impuesta por la Ley: de esta forma, el titular que había consentido la cesión tiene la noticia de que dicha cesión efectivamente se ha producido.
• Cuando se trate de fuentes accesibles al público.

Siempre (incluyendo las excepciones) informar al afectado de la cesión de los datos a terceros, indicando la finalidad.

Se nos puede plantear el siguiente problema

Que el responsable del fichero decida incluir en la cláusula de recogida de datos un derecho a renunciar a la obligación de comunicar la primera cesión de los datos.

Aunque según el Código Civil, el principio de renunciabilidad de los derechos permitiría tal posibilidad (art.602 del Código Civil).

Analizando en profundidad la Ley de Contrato de Seguro y la Ley de Ordenación y Supervisión de los seguros privados, no queda clara la justificación de la cesión de datos a reaseguradores y coaseguradores, ya que no se trata de algo implícito a la relación contractual entre asegurado y asegurador.

Pero respecto de la posibilidad de amparar la cesión en su necesidad para el contrato, la respuesta a de ser afirmativa, pues no debe interpretarse la LOPD en un sentido tan restrictivo que venga de exigir que la cesión sea indispensable para el cumplimiento del contrato, ya que ello llevaría absurdos tales como:

• Argumentos que la cesión de datos al banco para que abone indemnización no es totalmente necesaria, pues la compañía puede pagar en metálico en el domicilio del deudor.
• Que la compañía: pueda prescindir del reaseguro, asumiendo la totalidad del riesgo por si misma. En todo caso, parece razonable recabar el consentimiento para la cesión de datos a la compañía reaseguradora cuando se solicitan por primera vez al titular.

A tener en cuenta: recuerda la cesión solo quedará exonerada del requisito de autorización del titular cuando dicha cesión esté autorizada por la Ley, o sea necesaria para el mantenimiento o cumplimiento del contrato.

La Ley permite la existencia de ficheros comunes para las entidades aseguradoras

La compañía aseguradora no es responsable de los ficheros en común, por lo tanto, la compañía sólo tiene la obligación de comunicar la cesión, pero no la de notificar la existencia de fichero alguno al Registro General de Protección de Datos, salvo que decida crear un fichero específico de clientes y que luego la ceda al fichero común.

Por un lado tenemos ficheros creados para la liquidación de siniestros y la colaboración estadístico-actuarial, con el fin de permitir la tarificación y selección de riesgos y la elaboración de estudios y técnica asegurada.

• No es necesario: el consentimiento del afectado para la cesión de datos.
• Sí es necesario: advertir al usuario de una posible cesión de sus datos a ficheros comunes, mencionando el responsable de los mismos, sin que sea preciso comunicarle la cesión cuando ésta se produzca efectivamente.

Por otro lado tenemos los ficheros creados para prevenir el fraude en el seguro

• No es necesario el consentimiento del interesado para la cesión de datos
• Sí es necesario: comunicar la cesión y la identidad del cesionario en la primera introducción de sus datos, por lo que la compañía deberá cuidar que cada remisión de información de información al responsable del fichero vaya seguida de la comunicación de los datos cedidos.

En principio, la cesión de datos durante la urgencia del contrato sólo puede hacerse cuando haya sido consentida, expresa o tácitamente, por el interesado. Pero en determinados casos se pueden dar excepciones.

SITUACIÓN I

La cesión se puede realizar sin consentimiento del interesado.

SOLUCIÓN I 
Esto se hará solo para aquellos supuestos en que la cesión de datos se produce para la debida ejecución y cumplimiento de contrato de seguro.
Ejemplo: se pueden ceder libremente los datos al banco que debe ingresar la indemnización,o al perito que debe visitar el domicilio del asegurado.
En estas situaciones, sin embargo, si es obligatorio hacer firmar al cesionario que adopte las medidas de seguridad correspondientes sobre los datos.

SITUACIÓN II
La cesión de datos se debe realizar con consentimiento expreso del interesado.

SOLUCIÓN II
Cuando los datos que vayan a ser cedidos sean datos de salud, y, en general, cualquier dato que tenga condición de "especialmente protegido". Ejemplo: los datos de afiliación sindical, ideología, religioso, etc.

Según el artículo 4 de la Ley Orgánica de Protección de Datos.
Los datos de carácter personal sólo se podrán recoger:

• Cuando sean adecuados, pertinentes y no excesivos
• En relación con el ámbito de las finalidades, explicadas o legítimas para los que se haya obtenido.
• Teniendo en cuenta que podrán usarse para finalidades incompatibles con aquellos para los que los datos hubieran sido recogidos.