1. No category

Consultas
7.ª Sesión Anual Abierta de la AEPD. Teatro Real. 21 de abril de 2015.
1
Jesús Rubí Navarrete
Adjunto al Director
7.ª Sesión Anual Abierta de la AEPD. Teatro Real. 21 de abril de 2015.
2
Consultas
•
¿Puede el proceso de anonimización para la investigación
científica basarse en la causa del interés legítimo del art.
7.f) de la Directiva 95/46/CE, en la medida en que el riesgo
de reidentificación no exista o sea muy bajo según se
demuestre a través de una PIA (Privacy Impact
Assessment)?
– El artículo 7. f) de la Directiva 95/46/CE no legitima el
tratamiento de datos de salud.
7.ª Sesión Anual Abierta de la AEPD. Teatro Real. 21 de abril de 2015.
3
Agustín Puente Escobar
Abogado del Estado-Jefe del Gabinete Jurídico
7.ª Sesión Anual Abierta de la AEPD. Teatro Real. 21 de abril de 2015.
4
Consultas
•
Qué criterios de aplicación se aplicarán a la videovigilancia tras la
aprobación de la Ley de Seguridad privada: legitimación,
conservación, finalidad y uso de los datos.
Como punto de partida, la actuación de la Agencia en relación con la aplicación en
este punto de la LSP se limita a analizar el tratamiento de datos que implica la
instalación de cámaras.
La videovigilancia está regulada expresamente en el artículo 42 de la LSP. El párrafo
segundo del apartado 1 señala que “Cuando la finalidad de estos servicios sea
prevenir infracciones y evitar daños a las personas o bienes objeto de protección o
impedir accesos no autorizados, serán prestados necesariamente por vigilantes de
seguridad o, en su caso, por guardas rurales”
Esta disposición debe interpretarse a la luz del ámbito de aplicación de la LSP
– El artículo 5 considera actividades de seguridad privada “la instalación y
mantenimiento de aparatos, equipos, dispositivos y sistemas de seguridad
conectados a centrales receptoras de alarmas o a centros de control o de
videovigilancia” y “la explotación de centrales para la conexión, recepción,
verificación y, en su caso, respuesta y transmisión de las señales de alarma,
así como la monitorización de cualesquiera señales de dispositivos auxiliares
para la seguridad de personas, de bienes muebles o inmuebles o de
cumplimiento de medidas impuestas, y la comunicación a las Fuerzas y
Cuerpos de Seguridad competentes en estos casos”.
– El artículo 6 establece una serie de actividades excluidas de la aplicación de
la Ley, sin perjuicio de que puedan ejercerse, “de forma complementaria”
por empresas y personal de seguridad privada.
7.ª Sesión Anual Abierta de la AEPD. Teatro Real. 21 de abril de 2015.
5
Consultas
Por tanto, el criterio relativo a la existencia de libre competencia en la prestación
de este servicio tras la aprobación de la “Ley Omnibus” no ha cambiado.
En cuanto a la aplicación de la LOPD, tampoco cabe considerar alterados los
criterios adoptados en relación con ella y la Instrucción de videovigilancia.
Únicamente cabe añadir que, como reconoce el TJUE, la legitimación para el
tratamiento se ampara en el artículo 7 f) de la Directiva 95/46/CE, criterio que ya
había mantenido la Agencia y había sido igualmente sustentado por la AN
7.ª Sesión Anual Abierta de la AEPD. Teatro Real. 21 de abril de 2015.
6
Consultas
•
Una entidad privada solicita instalar sistema de alarma con cámara
que realiza fotografías por intento de entrada no autorizada. Esa
fotografía es grabada por la central de alarmas. La empresa que ha
solicitado la instalación no accede a la imagen. ¿En que situación
están ambas entidades con respecto a la LOPD? ¿Que entidad debe
atender los derechos ARCO? ¿Qué entidad debe colocar el cartel de
aviso de zona video vigilada?
Como punto de partida, el sistema estaría sometido a la LOPD y a la
Instrucción 1/2006, aunque no se tratase de imágenes en movimiento.
En este supuesto la entidad que contrata el servicio sería la responsable del
tratamiento de las imágenes y la empresa de seguridad privada sería
encargada del tratamiento.
La entidad que contrata el servicio estará obligada a informar en los términos
establecidos en la Instrucción 1/2006.
Los derechos podrían ejercitarse ante la responsable que debería dar traslado
a la encargada para que responda por cuenta de aquélla. También podría
establecerse en el contrato que los derechos serán atendidos directamente por
la empresa de seguridad (Art. 26 RLOPD).
7.ª Sesión Anual Abierta de la AEPD. Teatro Real. 21 de abril de 2015.
7
Consultas
•
Traspaso de oficina de farmacia o consulta médica: ¿Es cesión de
datos de salud de pacientes sujeta a principios de consentimiento,
o se puede amparar en el art. 19 del RLOPD, que no considera que
hay cesión de datos (sin perjuicio del cumplimiento art. 5 LOPD), y
por tanto no existe la obligación de consentimiento?
Como regla general, el artículo 19 sí sería aplicable en el caso de traspaso de
una oficina de farmacia.
En el caso de la consulta médica es preciso diferenciar un gran número de
supuestos atendiendo a la forma jurídica de dicha consulta y a la vinculación
de los pacientes con un determinado médico.
En general cabría aplicar el artículo 19 en caso de adquisición de una consulta
con personalidad jurídica propia respecto de los datos de los pacientes que lo
sean de ese centro y no de un médico en particular.
Si de lo que se trata es de un médico con consulta particular que deja de
ejercer la profesión y quiere “traspasar” sus pacientes a otro médico no será
de aplicación el artículo 19 y debería recabarse el consentimiento de los
pacientes para que acceda a su historia clínica el médico al que se refiera el
que deja de ejercer u otro que ellos decidan
7.ª Sesión Anual Abierta de la AEPD. Teatro Real. 21 de abril de 2015.
8
Consultas
•
Empresa de Reciclaje, usa el sistema de comunicación telemática
de residuos metálicos de la Guardia Civil “
APLES”
. Comunica el
fichero de forma diaria y telemática. Sólo hay habilitación legal
para comunicar el material de cobre: Art. 1 de la Orden
INT/1920/2011, de 1 de julio, y Orden de 2 de nov. De 1989. ¿Está
habilitado por ley para ceder los datos de las personas que vendan
cualquier material de forma telemática? Te obliga la Guardia Civil
El informe 359/2011 consideró que esta cesión se encontraba amparada por el
artículo 12 de la Ley Orgánica 1/1992, de 21 de febrero, sobre Protección de
la Seguridad Ciudadana que establecía las obligaciones de registro documental
e información de diversos obligados, de la que es desarrollo la Orden
INT/1920/2011.
Estas obligaciones se reiteran por el artículo 25.1 de la Ley Orgánica 4/2015,
de 30 de marzo, de protección de la seguridad ciudadana, que se refiere
expresamente a “las personas físicas o jurídicas que ejerzan actividades
relevantes para la seguridad ciudadana, como las de (…) alquiler o desguace
de vehículos de motor, (…), centros gestores de residuos metálicos,
establecimientos de comercio al por mayor de chatarra o productos de
desecho (…)”. La Ley Orgánica entrará en vigor el 1 de julio de 2015
Por tanto cabe apreciar que existe habilitación legal para la cesión
7.ª Sesión Anual Abierta de la AEPD. Teatro Real. 21 de abril de 2015.
9
Consultas
•
Las
universidades
públicas
que
ofrecen
servicios
de
comunicaciones electrónicas (conectividad wifi, acceso a internet,
correo electrónico, etc.) a los miembros de la comunidad
universitaria y visitantes (eduroam), ¿deben notificar a la AEPD
"la destrucción, accidental o ilícita, la pérdida, la alteración, la
revelación o el acceso no autorizados, de datos personales" en
cumplimiento de lo previsto en el artículo 41 de la Ley 9/2014?
La obligación de notificación de quiebras de seguridad es aplicable (art. 41.1 LGT)
a “los operadores que exploten redes públicas de comunicaciones electrónicas o
que presten servicios de comunicaciones electrónicas disponibles al público,
incluidas las redes públicas de comunicaciones que den soporte a dispositivos de
identificación y recopilación de datos”.
Es operador, según el apartado 26 del Anexo de la LGT, la “persona física o jurídica
que explota redes públicas de comunicaciones electrónicas o presta servicios de
comunicaciones electrónicas disponibles al público y ha notificado al Ministerio de
Industria, Energía y Turismo el inicio de su actividad o está inscrita en el Registro
de operadores”.
La explotación de una red de comunicación electrónica es definida por el apartado
17 del Anexo como “la creación, el aprovechamiento, el control o la puesta a
disposición de dicha red”.
A la vista de estas definiciones el artículo 41 no es aplicable en este caso
7.ª Sesión Anual Abierta de la AEPD. Teatro Real. 21 de abril de 2015.
10
Consultas
•
A raíz de la reforma del Código Penal (responsabilidad de las
personas jurídicas), han cambiado las conclusiones de la Agencia
en relación con el tratamiento de los datos en el marco de un canal
de denuncias (Informe 2007-0128). En particular, ¿estaría
legitimado el tratamiento de los datos de clientes y proveedores
en el marco de la prevención de delitos?
La AEPD ha venido considerado posible el establecimiento de los canales de
denuncia siempre que se cumplan los requisitos establecidos en la LOPD.
La legitimación para el establecimiento de estos canales podría fundarse en el
artículo 7 f) de la Directiva 95/46/CE. Por ello, la mera referencia al colectivo
afectado no sería suficiente para dar una respuesta definitiva a la cuestión,
siendo necesario conocer qué tipo de actuaciones serían susceptibles de
denunciarse por estos medios.
La reforma de la legislación penal podría ayudar a justificar el interés legítimo
prevalente, pero no bastaría por sí sola para fundar el tratamiento.
En particular, la Agencia ha considerado necesario que las denuncias tengan
carácter confidencial y no anónimo, si bien cabría la contratación de un
encargado del tratamiento que conservase los datos identificativos de los
denunciantes sin comunicarlos en ningún momento a la empresa.
7.ª Sesión Anual Abierta de la AEPD. Teatro Real. 21 de abril de 2015.
11
Consultas
•
¿ Como puede una persona obligar a eliminar datos e imágenes de
sus hijos menores de edad, que haya detectado están en internet ?
No es posible dar una respuesta general a esta pregunta, dado que sería
necesario atender a la legitimación que ha justificado la inclusión de las
imágenes o datos en Internet y resolver caso por caso.
Con carácter general, la solicitud debería dirigirse al responsable del
tratamiento que puede ser, según los casos, la plataforma en que se
incluyeron los datos o el propio usuario de esa plataforma (por ejemplo, si un
usuario de una red social ha incluido fotografías de menores en su perfil
profesional, sería a éste al que correspondería eliminar las imágenes y al que
debería dirigirse la solicitud).
Muchas plataformas ya establecen sistemas para “denunciar” los contenidos
ante las mismas.
También sería posible ejercer el derecho de oposición frente a los motores de
búsqueda que indexasen información asociada al nombre de los menores,
operando en ese caso la doctrina establecida en la sentencia del TJUE de 13
de mayo de 2014
7.ª Sesión Anual Abierta de la AEPD. Teatro Real. 21 de abril de 2015.
12
José López Calvo
Subdirector General de Inspección de Datos
7.ª Sesión Anual Abierta de la AEPD. Teatro Real. 21 de abril de 2015.
13
Consultas
•
Cuando una entidad quiere utilizar datos personales a los que
accede en calidad de encargado del tratamiento, para otra
finalidad. ¿puede ponerse en contacto directamente con las
personas de las cuales tiene datos para solicitarles consentimiento
para el tratamiento de datos ya como responsable del fichero, para
esa nueva finalidad, o tiene que pedir autorización al responsable el
fichero original?
El encargado del tratamiento sólo puede utilizar los datos para los fines establecidos
por el responsable del fichero y conforme a sus instrucciones. Si un encargado
utiliza los datos para otra finalidad responde personalmente de las infracciones en
las que hubiera incurrido, en el caso planteado podría incurrir en una infracción del
artículo 6 de la LOPD.
Un encargado del tratamiento, respecto de los datos que trata en su condición de
encargado, nunca puede actuar como responsable del fichero o tratamiento. Por ello
el artículo 14 del Reglamento de la LOPD, al regular el procedimiento para la
obtención del consentimiento de los afectados, indica expresamente que es el
responsable del tratamiento el que podrá utilizar dicho procedimiento.
Si el responsable del fichero o tratamiento pretende obtener el consentimiento de
los afectados para finalidades distintas a las consentidas, puede encomendar a un
encargado del tratamiento que lleve a cabo esta tarea, pero tal encargo no puede
suponer el establecimiento de un nuevo vínculo para el que presta el servicio, ya
que si se crea un nuevo vínculo no sería de aplicación lo dispuesto en el artículo 12
de la LOPD y se consideraría, por tanto, una cesión de datos el acceso que realizara
este tercero a los ficheros del responsable.
7.ª Sesión Anual Abierta de la AEPD. Teatro Real. 21 de abril de 2015.
14
Consultas
•
¿Cuál sería la responsabilidad del Encargado de Tratamiento (ET)
cuando se producen brechas de seguridad en las instalaciones del
Responsable del Fichero (RF) en los siguientes casos?
(1) el responsable del fichero proporciona al ET portátiles/USB sin
cifrar con acceso a datos altamente confidenciales, y el ET los
pierde.
(2) el RF asigna accesos a través de usuarios genéricos a los equipos
de soporte a producción con acceso a datos altamente
confidenciales.
¿En qué casos de los citados procedería una sanción al ET?
Según art. 9 LOPD y arts. 20 y 79 RLOPD, tanto el RF como el ET asumen su parte
de responsabilidad por las posibles quiebras de seguridad en los tratamientos.
En cada caso, la responsabilidad deberá asumirla aquel que realizó la acción que
ha provocado la quiebra, siempre que el encargo de tratamiento cumpla los
requisitos formales previstos.
De los supuestos planteados, el ET será responsable de la infracción en el (1).
7.ª Sesión Anual Abierta de la AEPD. Teatro Real. 21 de abril de 2015.
15
Consultas
•
¿Un encargado de tratamiento puede destruir los datos de un
responsable cuando la relación finaliza unilateralmente? (el cliente
no paga, desaparece la empresa).
La pregunta planteada se ha suscitado en ocasiones en relación con los
administradores (Encargados de Tratamiento) de una Comunidad de
Propietarios (responsable) en que el ET plantea la existencia de pagos
pendientes.
Como prevé el artículo 12 los datos deben ser devueltos o destruidos una vez
cumplida la prestación contractual.
En caso de discrepancia sobre si sigue vigente o no el contrato prevalecería el
criterio del responsable de acuerdo con lo dispuesto en el apartado 2 del
artículo 12.
No obstante, el encargado podría disponer de una copia bloqueada con los
datos imprescindibles a los efectos únicamente de la defensa de sus derechos
y responsabilidades.
7.ª Sesión Anual Abierta de la AEPD. Teatro Real. 21 de abril de 2015.
16
Consultas
•
Para que no se considere “SPAM”, ¿se podría enviar un primer
correo por parte de la organización, presentando a la misma y
solicitando permiso para enviar publicidad a través de
consentimiento tácito estableciendo en el mensaje “si en un plazo
X no se opone, da su consentimiento para recibir publicidad de
nuestra organización”?. De tal manera que si no se da de baja
expresamente
¿se podría proceder al envío de correos
publicitarios?
Cuando se pretenda enviar publicidad
artículo 21 de la LSSI exige que
a través de medios electrónicos el
a) el consentimiento sea expreso o
a) se refiera a productos o servicios de su propia empresa que sean similares
a los que inicialmente fueron objeto de contratación por el cliente.
El primer correo aludido –u otros mensajes como SMS- en ausencia de a) o b)
es una comunicación comercial indebida.
7.ª Sesión Anual Abierta de la AEPD. Teatro Real. 21 de abril de 2015.
17
Rafael García Gozalo
Jefe del Departamento Internacional
7.ª Sesión Anual Abierta de la AEPD. Teatro Real. 21 de abril de 2015.
18
Consultas
•
¿Cómo será la figura del futuro delegado de protección de datos?
¿será independiente de las entidades? ¿será exigible una formación
específica? ¿la AEPD tendrá un registro de DPOs?
No es posible conocer aún cómo se configurará el DPO en el futuro
Reglamento.
La propuesta de la COM y la Posición Común del PE lo definen como una figura
que debe existir obligatoriamente en las entidades públicas y en las privadas
que cumplan una serie de requisitos relacionados con su tamaño, con el tipo
de datos que se traten o con la naturaleza de los tratamientos.
El Consejo, por su parte, ha incluido esta cuestión en una de sus
“Orientaciones Generales Parciales” y lo regula como una figura optativa para
todo tipo d entidades, salvo que dispongan lo contrario legislaciones
nacionales o de la UE.
7.ª Sesión Anual Abierta de la AEPD. Teatro Real. 21 de abril de 2015.
19
Consultas
En otros aspectos hay mayor coincidencia en las características del DPO:
‒ Todas las propuestas coinciden, aunque con matices, en que las
entidades deberán asegurar que el DPO actúa con independencia en el
desarrollo de sus tareas y no recibe instrucciones en el ejercicio de sus
funciones. También todas coinciden en que el DPO debe reportar
directamente al nivel más alto de la gerencia.
‒ Todas las propuestas coinciden en que el DPO deberá seleccionarse
atendiendo a sus cualidades profesionales y a su experiencia y
conocimientos en el derecho y práctica de la protección de datos
‒ Todas las propuestas coinciden en que las entidades deberán
comunicar la identidad de su DPO a las autoridades de protección de
datos, con lo que, en principio, es razonable pensar que estas
comunicaciones se incluirán en algún tipo de registro
7.ª Sesión Anual Abierta de la AEPD. Teatro Real. 21 de abril de 2015.
20
www.agpd.es
7.ª Sesión Anual Abierta de la Agencia Española de Protección de Datos