Según el RGPD están obligados a tener un DPO Delegado de Protección de Datos:
- Las autoridades y organismos públicas
- Entidades con actividad principal consistente en el tratamiento habitual y sistemático de interesados a gran escala
- Entidades con tratamiento de datos sensibles a gran escala (categorías especiales o relativos a delitos penales)
Es decir, además de las entidades públicas tiene que contar con la figura de un DPO las empresas privadas que traten datos personales sensibles (religión, datos de salud, etc.) “a gran escala”.
En cualquier caso, un grupo empresarial podrá contratar a un único DPO para todo el grupo, siempre y cuando, sea accesible desde cualquiera de los establecimientos del grupo empresarial.
Si bien el RGPD fue publicado en el Diario de la UE el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 y está vigente desde el día 4 de mayo de 2016 no alcanzará su plena implantación hasta el 25 de mayo de 2018, fecha en la que será plenamente aplicable en todo el territorio de la UE.
Actualmente la Comunidad de Cataluña tiene Agencia de Protección de Datos propia en funcionamiento, con competencias sobre los ficheros públicos de su ámbito territorial. Los ficheros privados siguen siendo competencia de la Agencia Española de Protección de Datos.
En este caso, la competencia es de la Agencia Catalana de Protección de Datos, situada en la calle LLACUNA, 166 – 7º 08018 BARCELONA.
Actualmente la Comunidades del País Vasco tiene Agencia de Protección de Datos propia en funcionamiento.
Dicha Agencia tiene competencias sobre los ficheros públicos de su ámbito territorial. Los ficheros privados siguen siendo competencia de la Agencia Española de Protección de Datos.
En este caso, la competencia es de la Agencia Vasca de Protección de Datos, situada en la calle BEATO TOMAS DE ZUMARRAGA, 7-1-3º PLANTA, 01008-VITORIA GASTEIZ
El tema expuesto corresponde a actuaciones realizadas por un Organismo dependiente de la Comunidad de Madrid. En consecuencia, deberá plantearse esta cuestión a la Agencia de Protección de Datos de la Comunidad de Madrid (Calle Cardenal Marcelo Spinola, 14, 28016, Madrid) que tiene competencias sobre los ficheros públicos de su ámbito territorial.
Desde el punto de vista de la normativa vigente, se deben identificar como Spam todas aquellas comunicaciones comerciales electrónicas del tipo que fueren (correo electrónico de Internet, mensajes cortos de telefonía móvil “SMS” ,etc) que el usuario recibe sin haber otorgado su consentimiento para ello,
Si el afectado es una persona física:
Los titulares de los datos personales pueden instar la oposición al tratamiento, automatizado o no, de sus datos, de conformidad con lo previsto en el articulo 6.4 de la Ley Orgánica 15/1999, de 13 de diciembre, que establece:
“…En los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de los datos de carácter personal, y siempre que una Ley no disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En tal supuesto, el responsable del fichero excluirá del tratamiento los datos relativos al afectado.”.
El ejercicio del derecho de oposición es personalismo, lo que significa que el titular de los datos personalmente deberá dirigirse a dicha entidad, utilizando cualquier medio que permita acreditar el envío y la recogida de su solicitud, para el ejercicio de sus derechos, acompañando copia de su D.N.I.
Si en el plazo de diez días hábiles no recibe contestación o esta es insatisfactoria, puede reclamar ante esta Agencia Española de Protección de Datos, acompañando la documentación acreditativa de haber solicitado la oposición al tratamiento de datos ante la entidad que se trate.
Igualmente podrá denunciarlo, si así lo desea
Si el afectado es una persona jurídica:
Puede ponerlo en conocimiento de esta Agencia. Para ello deberá presentar una escrito de denuncia – en los términos que se prevén en el artículo 70 de la Ley 30/1992 de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común – y enviarlo por correo (incluido el electrónico).
Dicho escrito deberá contener:
Nombre y apellidos del interesado y, en su caso, de la persona que lo represente, así como la identificación del medio preferente o del lugar que se señale a efectos de notificaciones.
Hechos, razones y petición en que se concrete, con toda claridad, la solicitud.
Lugar y fecha.
Firma del solicitante o acreditación de la autenticidad de su voluntad expresada por cualquier medio.
órgano, centro o unidad administrativa a la que se dirige. (En su caso sería la Subdirección General de Inspección de Datos de esta Agencia, calle Jorge Juan, 6-28001-Madrid).
Igualmente, las denuncias deberán expresar la identificación de los presuntos responsables y acompañar los documentos o cualquier otro tipo de prueba que permita corroborar los hechos denunciados.
Las voces a las que se refiere sólo podrán ser consideradas datos de carácter personal en caso de que las mismas permitan la identificación de las personas que aparecen en dichas voces, no encontrándose amparadas en la Ley Orgánica en caso contrario.
De otro lado, y aun cuando nos hallemos ante un supuesto en que existan datos de carácter personal, será necesario que dichos datos se encuentren incorporados a un fichero
En consecuencia, y únicamente bajo el aspecto de lo que es protección de datos, la grabación de llamadas estaría fuera del ámbito de aplicación de la LOPD siempre que no pueda procederse a la identificación de las personas que aparecen en las voces o, en caso de poderse identificar dichas voces no hayan sido incorporadas a un fichero, en los términos definidos.
Cuando se recaban voces asociadas a otros datos identificativos, se debe informar en los términos del articulo 5 de la LOPD.
En contestación a su consulta, le tenemos que señalar que este organismo únicamente tiene competencia para analizar si la recogida de imágenes puede ser contraria a la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal. Para dicho fin se ha dictado la INSTRUCCIÓN 1/2006, de 8 de noviembre,de la Agencia Española de Protección de Datos, sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras.
La potestad para colocar o no videocámaras la otorga el Ministerio del Interior o las Delegaciones del Gobierno pertinentes.
Tal y como marca la Instrucción, las imágenes se consideran un dato de carácter personal, en virtud de lo establecido en el artículo 3 de la Ley Orgánica 15/1999 y el artículo 1.4 del Real Decreto 1322/1994 de 20 de junio, que considera como dato de carácter personal la información gráfica o fotográfica. Se excluyen el tratamiento de imágenes en el ámbito personal y doméstico, entendiéndose por tal el realizado por una persona física en el marco de una actividad exclusivamente privada o familiar.
Aunque nos hallemos ante un supuesto en que existan datos de carácter personal, será necesario que dichos datos se encuentren incorporados a un fichero, definido como “todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso”, por el artículo 3 b) de la Ley. Ello supone que en el supuesto en que las imágenes no sean objeto de una organización sistemática, con arreglo a criterios que permitan la búsqueda de las mismas a partir de los datos personales de una determinada persona, el archivo en que se contuvieran no será considerado fichero a los efectos de la Ley. A estos efectos, no se considerará fichero el tratamiento consistente exclusivamente en la reproducción o emisión de imágenes en tiempo real.
Se considerará identificable una persona cuando su identidad pueda determinarse mediante los tratamientos a los que se refiere la Instrucción 1/2006 sin que ello requiera plazos o actividades desproporcionados. Las referencias a videocámaras y cámaras se entenderán hechas también a cualquier medio técnico análogo y, en general, a cualquier sistema que permita los tratamientos previstos en la misma.
En consecuencia, y únicamente bajo el aspecto de lo que es protección de datos, la grabación de imágenes a las que se refiere su escrito estaría fuera del ámbito de aplicación de la LOPD siempre que no pueda procederse a la identificación de las personas que aparecen en las imágenes.
Cuando se graba en tiempo real no existe fichero a inscribir, pero se debe informar, mediante la colocación del cartel pertinente, de que existe una zona videovigilada y que el titular de las imágenes puede ejercitar sus derechos de acceso, rectificación, cancelación u oposición.
El artículo 4 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal señala que:
Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido
Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. No se considerará incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos.
Igualmente, la entidad que recaba datos personales debe informar de lo dispuesto en el articulo 5 de la citada Ley Orgánica, según el cual:
Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:
De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante….
Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior.
En consecuencia, cuando se recaban datos personales (entre ellos la firma) debe informarse de los expuesto anteriormente. Por lo tanto, teniendo en cuenta que la firma del contrato presupone su aceptación y si los datos se usan para el exclusivo cumplimiento del mismo, informándose debidamente al titular de los datos, se cumpliría la normativa de protección de datos. Si la firma digitalizada se usa para otros fines distintos, se podría estar infringiendo dicha normativa.
Se define un Fichero como todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.
En consecuencia, la empresa será responsable de tantos ficheros como conjuntos estructurados de datos, adscritos a una determinada finalidad legítima utilice. Cada conjunto estructurado de datos aplicado a una finalidad concreta constituye un fichero, con independencia de los datos de carácter personal que se incluyen.
Partiendo de la definición anterior, la libreta de direcciones de Outlook es un fichero que contiene datos de carácter personal, ya que el e-mail es tal si puede identificarse a su titular.
En consecuencia, debe procederse a la inscripción de ficheros en el Registro General de Protección de Datos, sito en la calle Jorge Juan, 6, 28001, Madrid, por correo, fax o Internet.
El tema por Vd. expuesto corresponde a actuaciones que exceden del ámbito de competencias de este Organismo, al poder ser constitutivas de delito. En consecuencia, deberá Vd. dirigirse a la BRIGADA DE INVESTIGACIÓN TECNOLÓGICA DE LA COMISARIA GENERAL DE POLICIA JUDICIAL (Calle Julián González Segador s/n, 28043, Madrid) y exponer allí su caso.
El concepto de dato personal, según la definición de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, comprende cualquier información concerniente a persona física identificada o identificable, de donde se requiere la concurrencia de un doble elemento: por una parte la existencia de una información o dato y de otra, que dicho dato pueda vincularse a una persona física identificada o identificable.
En el supuesto de direcciones electrónicas la información está constituida por un conjunto de signos que cuando permiten la vinculación directa o indirecta con una persona física la convierte en un dato de carácter personal.
El tratamiento de datos personales (en este caso, la dirección del e-mail) requiere el consentimiento de los titulares de los datos o bien la existencia de una Ley que lo ampare. En consecuencia, la utilización de e-mail sin consentimiento podría ser vulneración de la normativa sobre protección de datos y se podría denunciar ante la Agencia
Lo primero que hay que ponerle de relieve en cuanto a la rotección de datos personas fallecidas, es que de conformidad con lo establecido en la normativa de aplicación sobre protección de datos, los derechos de acceso rectificación y cancelación a los datos personales son derechos personalísimos que únicamente pueden ser ejercitados directamente por el propio afectado.
En consecuencia, los datos de las personas fallecidas no entran dentro del amparo de la LOPD ni de los reglamentos que la desarrollan.
No obstante, la AEPD viene admitiendo que los familiares de los fallecidos ejerciten el derecho de acceso a su historial clínico, de conformidad con lo prevenido en la Ley de Autonomía del Paciente.
Asimismo, el Reglamento 1720/2007, de 21 de diciembre permite también que las personas vinculadas familiarmente al fallecido pueden notificar al responsable del fichero el fallecimiento con la finalidad de perseguir la cancelación de los datos de aquel del fichero, sin que ello suponga un posterior derecho a ser tutelado por la AEPD.
También permite que los familiares de los fallecidos ejerciten el derecho de acceso a los datos de la historia clínica de estos últimos, en los términos que ampara la Ley de Autonomía del Paciente.
El artículo 6 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal señala que:
El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa.
En virtud de lo anterior, para tratar datos personales de menores de 14 años de dad, se precisa en algunas ocasiones el consentimiento de los mismos. Dado que los menores de edad no pueden normalmente celebrar contratos ni obligarse jurídicamente, deben ser sus padres o tutores (o quienes tengan la patria potestad) los que deben prestar el consentimiento en su nombre, a menos que el menor este emancipado o se de alguna otra circunstancia que le permita actuar como un mayor de edad en el mundo jurídico, es decir, con plena capacidad jurídica.
Los mayores de 14 años pueden prestar su propio consentimiento a efectos de la protección de datos a los efectos de ese listado publico alumnos menores.
En relación con su consulta se le indica con carácter general que el objeto de la Ley está regulado en los artículos 1 y 2 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal que expresamente establecen:
Artículo 1. Objeto
La presente Ley Orgánica tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar
Artículo 2. Ámbito de aplicación
La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado.
Asimismo, el articulo 2.2 del Real Decreto 1720/2007, de 21 de diciembre, establece que el reglamento no será aplicable a los tratamientos de datos referidos a personas jurídicas ni a los ficheros que se limiten a incorporar los datos de las personas físicas que presten sus servicios en aquellas, consistentes en nombre y apellidos, las funciones o puestos desempeñados, la dirección postal o electrónica, teléfono y numero de fax profesionales.
Por ello no es de aplicación la Ley Orgánica 15/1999 al caso planteado relativo al tratamiento de datos de una empresa o persona jurídica o de personal de contacto de la misma