|
Qué es un dato de carácter personal
Legalmente se define como cualquier información
numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro
tipo concerniente a personas físicas identificadas o identificables. Dado
que se restringe a las personas físicas, no es dato personal la denominación
social, dirección, teléfono o fax de una empresa, pero sí se puede considerar
como tal un listado con los consejeros delegados de la misma.
La Agencia de Protección de Datos (APD) afirma
que la dirección de correo electrónico lo es, aunque ésta no muestre directamente
datos relacionados con el titular de la cuenta, sino una denominación
abstracta o un conjunto de caracteres alfanuméricos sin significado alguno.
Como todo concepto jurídico indeterminado
que se precie, genera múltiples interpretaciones y, en consecuencia, una
casuística apreciable. La tendencia es la interpretación extensiva del
concepto; no en vano nuestra legislación es la más garantista de la Unión
Europea.
Inscripción de ficheros
Cualquier entidad que pretenda crear ficheros
automatizados o informatizados que contengan datos de carácter personal
habrá de inscribirlos previamente en el Registro General de Protección
de Datos que mantiene la APD. En este sentido, resulta irrelevante la
explotación o utilización que se realice del fichero, ya que es la mera
creación la que origina la obligación de notificación.
Obligaciones del titular de un fichero
El titular de un fichero automatizado con
datos personales es el responsable del mismo. De hecho, la Ley Orgánica
de Protección de Datos (LOPD), conservando la terminología de la derogada
LORTAD, lo denomina “responsable del fichero”. Éste se define como aquel
que decide sobre la finalidad, contenido y uso del fichero y por ello
está sujeto a una serie de obligaciones.
Así, el responsable habrá de velar por la
llamada “calidad del dato”, esto es, que los datos de carácter personal
en su poder habrán de ser adecuados, pertinentes, no excesivos, exactos
y puestos al día. Los datos recogidos responderán a una finalidad determinada
y serán cancelados cuando hayan dejado de ser necesarios o pertinentes
para ésta.
Junto al principio de la calidad del dato,
existen otros dos de carácter básico. Por un lado, el principio de información
pretende que cuando se recojan datos personales se informe al afectado
de la existencia de un fichero, de la finalidad de la recogida, de los
destinatarios de los mismos y de la identificación y dirección del responsable
del fichero para poder ejercer sus derechos de acceso, rectificación o
cancelación.
Sólo existiendo información podrá el afectado
prestar su consentimiento a la recogida y tratamiento de sus datos, segundo
de los principios fundamentales. Toda norma o principio tiene sus excepciones:
las principales al respecto son que no habrá que informar cuando una ley
expresamente lo prevea y que no se precisará consentimiento para tratar
datos amparados por una relación negocial.
Finalmente, al responsable del fichero con
datos personales se le imponen dos obligaciones adicionales: un deber
de secreto profesional y la adopción de una serie de medidas de seguridad
que eviten su acceso o tratamiento sin autorización, alteración o pérdida.
Estas medidas de seguridad, de las que hablaremos más adelante, vienen
contempladas en el Real Decreto 994/1999.
Origen de los datos
Los datos pueden proceder de dos fuentes:
del propio interesado, cuyo régimen ya hemos analizado en el apartado
anterior, y las denominadas fuentes accesibles al público. La LOPD enumera
estas últimas de manera cerrada: el censo promocional (elaborado por el
Instituto Nacional de Estadística), los repertorios telefónicos, las listas
de personas pertenecientes a grupos de profesionales que contengan únicamente
los datos de nombre, título, profesión, actividad, grado académico, dirección
e indicación de su pertenencia al grupo, así como los diarios y boletines
oficiales y los medios de comunicación.
Si esos listados o repertorios se editan en
forma de libro o algún otro soporte físico (microfilm, por ejemplo), entonces
pierden su carácter público con la nueva edición que se publique, y en
consecuencia los datos extraídos sólo podrán ser utilizados si se actualizan.
En el caso de que se obtenga telemáticamente una copia de la lista en
formato electrónico (ese mismo listado en disquete o CD), ocurre lo mismo
transcurrido un año de su adquisición.
Si los datos proceden de estas fuentes públicas
y son utilizados en acciones comerciales, en cada comunicación que se
dirija al interesado se le informará del origen de los datos y de la identidad
del responsable del tratamiento, ante quien podrá ejercitar sus derechos.
Cesión y acceso a los datos
Una pregunta frecuente es la siguiente: ¿podemos
vender a un tercero nuestra base de datos de clientes? Cuando transmitimos
el fichero y no es con el objeto de que un tercero nos preste un servicio,
realizamos lo que la Ley denomina “cesión o comunicación de datos”.
En el caso de que el tercero acceda a esos
datos para, por ejemplo, imprimir las direcciones en los sobres que vamos
a utilizar para un mailing, se produce un “acceso a los datos” por parte
ese tercero, el “encargado del tratamiento”. El acceso habrá de estar
regulado por un contrato que delimite las obligaciones y responsabilidades
del responsable del fichero y del encargado del tratamiento, esto es,
del titular del fichero y del tercero cuyos servicios arrendamos.
Más complejo resulta el régimen legal de las
cesiones, ya que éstas podrán acontecer principalmente en cuatro supuestos
distintos: cuando a ellas obligue una Ley (por ejemplo, comunicación de
datos a la Administración Tributaria o Seguridad Social), cuando la cesión
haya sido consentida por el afectado, cuando esté amparada en una relación
negocial y, finalmente, cuando los datos provengan de fuentes públicas
y se informe de acuerdo con lo comentado en el apartado anterior.
Medidas y niveles de seguridad
Ya señalábamos que una de las obligaciones
del responsable de un fichero es la implantación de una serie de medidas
de seguridad contempladas en el denominado “Documento de seguridad”. La
normativa parte de unas medidas básicas que han de cumplir todos los ficheros
que contengan datos de carácter personal, para luego establecer medidas
especiales para aquellos ficheros que por la especial naturaleza de los
datos incluidos o por las propias características de los mismos exijan
un grado de protección mayor. Se distingue por ello entre ficheros con
datos de nivel básico, medio y alto.
Así, los ficheros que contengan datos relativos
a la comisión de infracciones administrativas o penales, Hacienda Pública,
servicios financieros, servicios de información sobre solvencia patrimonial
y crédito y cumplimiento o no de obligaciones dinerarias, deberán reunir,
además de las medidas de nivel básico, las de nivel medio. Éstas y las
de nivel alto deberán cumplirlos aquellos ficheros que contengan datos
de ideología (incluido pago de cuota sindical a través de nómina), religión,
creencias, origen racial, salud (incluido grado de minusvalía a efectos
de la retención del IRPF) o vida sexual.
Existe una cierta confusión en cuanto a la
definición de lo que son datos relativos a Hacienda Pública y servicios
financieros, que en ningún caso hay que asimilar de manera genérica a
los datos económicos y patrimoniales que podamos tener de un cliente.
De acuerdo con el criterio de la APD, la Hacienda Pública se relaciona
con el conjunto de datos que poseen las administraciones tributarias,
y no a los datos que, en mayor o menor medida, suministran empresas y
particulares. Por lo que respecta a los servicios financieros, la norma
apunta a los que manejan entidades financieras, aseguradoras, gestoras
de fondos, etc.
Por ello, los datos económicos o patrimoniales
que trate una asesoría serán de nivel medio sólo en la medida en que permitan
obtener una evaluación de la personalidad del individuo, un perfil. Nos
encontramos nuevamente ante un concepto jurídico indeterminado que habrá
que interpretar caso a caso.
Fax y correo electrónico
¿Podemos utilizar el fax o el correo electrónico
para llevar a cabo acciones de márketing? La legislación en materia de
protección de datos personales no se agota con la LOPD. Para contestar
a esta pregunta hay que acudir a otras normas sectoriales, relativas a
telecomunicaciones y comercio electrónico. De acuerdo a éstas, tanto un
fax o correo electrónico de estas características sólo podrá ser remitido
a aquellos destinatarios que hayan dado su consentimiento previo.
Estas misma normativa regula otros tipos de
comunicaciones como el telemárketing o el envío de SMS.
|
