CN12-001_DIC_D12-010 - Agencia Vasca de Protección de Datos

Anuncio
CN12-001
DICTAMEN QUE SE EMITE EN RELACIÓN A LA CONSULTA PLANTEADA POR
EMAKUNDE-INSTITUTO VASCO DE LA MUJER EN RELACIÓN A LA
IMPLANTACIÓN DEL PROYECTO “GAZTEAK BERDINTASUNEAN 2.0”.
ANTECEDENTES
PRIMERO: Con fecha 4 de enero de 2012 tiene entrada en esta Agencia Vasca de
Protección de Datos escrito de la Sra. Secretaria General de EMAKUNDE-Instituto
Vasco de la Mujer en relación con el asunto arriba referenciado.
SEGUNDO: En dicho escrito se expresa lo siguiente:
“Gizonduz es una iniciativa de Emakunde-Instituto Vasco de la Mujer dirigida a
promover la concienciación, participación e implicación de los hombres en pro
de la igualdad de las mujeres y hombres y contra la violencia hacia las
mujeres. Uno de los ejes fundamentales para lograr la implicación de los
hombres ha sido el programa de formación y sensibilización, tanto presencial
como on line que ha estado enfocado de forma casi exclusiva a la población
adulta.
Las intervenciones con jóvenes han sido muy puntuales y en todas ellas se ha
constatado la necesidad de contar con materiales y estrategias específicas
para llegar a este sector de la población. Por ello estamos desarrollando un
proyecto denominado Gazteak berdintasunean 2.0 que consiste
fundamentalmente en una herramienta participativa de formación,
sensibilización e investigación basada en las nuevas tecnologías que pretende
ser universal y accesible a todo el profesorado de la CAV a las escuelas y a los
y las jóvenes de forma libre.
El objetivo general del proyecto es promover la concienciación e implicación de
las personas adolescentes y jóvenes y en particular de los hombres a favor de
la igualdad de mujeres y hombres y contra la violencia hacia las mujeres
mediante la utilización de herramientas educativas innovadoras basadas en las
nuevas tecnologías.
Los objetivos específicos son los siguientes:
Recoger información continua y sistematizada sobre la percepción (opiniones
que tienen los chicos y las chicas sobre la igualdad, las violencias masculinas
y la violencia hacia las mujeres.
Sensibilizar a los chicos en materia de igualdad, regulación no violenta de los
conflictos interpersonales y violencias masculinas.
Ayudar a visibilizar situaciones y actitudes de violencia, acoso y control en la
vida cotidiana de los y las jóvenes.
Favorecer cambios de actitud en los jóvenes hacia posiciones más igualitarias
y el empoderamiento de las jóvenes.
c/ Beato Tomás de Zumárraga, 71, 3º - 01008 Vitoria – Gasteiz - Tel. 945 016 230 - Fax. 945 016 231 avpd@avpd.es www.avpd.es
Proponer modelos alternativos de masculinidad.
Desarrollar herramientas educativas innovadoras aplicando las nuevas
tecnologías.
Desarrollar unidades didácticas específicas de formación, dirigidas al
profesorado, formadores y formadoras, etcétera.
Facilitar herramientas complementarias de intervención con jóvenes al
profesorado, formadores y formadoras, agentes de igualdad…
Complementar el trabajo que se está desarrollando en el marco del programa
Nahiko de Emakunde y de Berdinsarea dirigido a la sensibilización de niñas,
niños y adolescentes a favor de la igualdad y en contra de la violencia hacia
las mujeres.
Para conseguir estos objetivos el programa constará de tres plataformas
Una web informativa o escaparate que muestre información del proyecto,
desarrollo y fases del mismo así como de las entidades implicadas.
Una aventura gráfica on-line (videojuego) y en la comunidad virtual. Por tanto e
recabará información tanto de sus datos identificativos (nombre y apellidos,
nick, sexo, edad y nivel de estudios) como de sus opciones y opiniones con
relación a diferentes cuestiones relacionadas con la igualdad de mujeres y
hombres y la violencia sexista que se les vayan planteando en el momento que
hagan uso de la aventura gráfica.
El público beneficiario serán centros escolares, profesorado en general,
especialistas en educación, agentes de igualdad, etcétera. Es decir la idea es
que la participación de chicos y chicas en las tres plataformas se promueva y
articule fundamentalmente
a través de las referidas instituciones y
profesionales sin perjuicio de que también pueda ser utilizadas directamente
por quienes tenga interés en hacerlo fuera de dichos entornos.
A la vista de todo lo expuesto desearíamos tramitar una consulta sobre el
tratamiento de datos de aplicación, de los accesos e identificaciones de las
personas usuarias, conexión con datos de centros escolares, etc y el encaje
con las características de los ficheros registrados por Emakunde-Instituto
Vasco de la Mujer en la Agencia”
TERCERO: El artículo 17.1 de la Ley 2/2004, de 25 de febrero, de Ficheros de
Datos de Carácter Personal de Titularidad Pública y de Creación de la Agencia
Vasca de Protección de Datos, en su apartado n) atribuye a la Agencia Vasca de
Protección de Datos la siguiente función:
“Atender a las consultas que en materia de protección de datos de carácter
personal le formulen las administraciones públicas, instituciones y
corporaciones a que se refiere el artículo 2.1 de esta Ley, así como otras
personas físicas o jurídicas, en relación con los tratamientos de datos de
carácter personal incluidos en el ámbito de aplicación de esta Ley.”
Corresponde a esta Agencia Vasca de Protección de Datos, en virtud de la
normativa más arriba citada, la emisión del informe en respuesta a la consulta
formulada.
2
CONSIDERACIONES
I
Dado el carácter con que se formula la consulta, considera esta Agencia que como
mejor puede ayudar al órgano consultante, al menos inicialmente, es intentando
describir cuáles puedan ser los principales aspectos a tener en cuenta desde la
perspectiva del derecho fundamental a la protección de datos en la implantación del
proyecto que se está desarrollando, partiendo para ello de la descripción que de
dicho proyecto se realiza en el escrito de consulta, y sin perjuicio de que se intente
también una aproximación a las cuestiones concretas que se citan en dicho escrito.
Para ello no encuentra esta Agencia mejor modo de hacerlo que realizar un somero
repaso de los “Principios de la Protección de Datos”, utilizando el término que
encabeza el Título II de la LOPD.
De esta manera, se inicia dicho Título con el artículo 4 relativo a la “Calidad de los
datos”.
El apartado primero de dicho artículo señala que “los datos de carácter personal sólo
se podrán recoger para su tratamiento así como someterlos a dicho tratamiento,
cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las
finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.”
De acuerdo con la consulta, se recabará información tanto de los datos
identificativos (nombre y apellidos, nick, sexo, edad y nivel de estudios) como de sus
posiciones u opiniones con relación a diferentes cuestiones relacionadas con la
igualdad de mujeres y hombres y la violencia sexista que se les vayan planteando en
el momento que hagan uso de la aventura gráfica.
Según se desprende de la consulta, aunque las personas pueden participar en las
tres plataformas, sólo se recogerán los datos de aquellas que participen en la
aventura gráfica y en la comunidad virtual.
Como establece el artículo trascrito más arriba, los datos que deban ser objeto de
recogida están en relación con las finalidades para las que se recogen. Por ello y sin
perjuicio de que sólo en dos de las tres plataformas se recojan los datos, visto el
objetivo general y los objetivos específicos (que constituyen desde la perspectiva del
derecho fundamental “la finalidad” a la que se refiere el artículo 4 LOPD) debiera el
órgano consultante cuestionarse de qué manera resulta necesario proceder a la
identificación de las personas que accedan a dicha plataforma en cuanto, en una
primera lectura de los objetivos, puede que no sea necesaria la identificación de los
y las usuarias.
Dicha cuestión puede resultar del máximo interés porque obsérvese que si se llegara
a la conclusión de que la identificación de la persona concreta poco aporta al
efectivo cumplimiento de la finalidad, bastando con datos genéricos y no se
precisara la recogida de datos identificativos no sería de aplicación la normativa de
protección de datos porque en realidad no habría datos de carácter personal.
3
En cualquier caso, y si se considerara que la identificación de los usuarios es
necesaria para el cumplimiento de la finalidad (objetivos) los citados en la consulta
parecen adecuados, pertinentes y no excesivos.
Debe advertirse de la misma manera que, de acuerdo con el apartado segundo de
dicho artículo 4 de la LOPD los datos así recogidos no podrán ser tratados para
finalidades incompatibles con aquellas para las que fueron recogidos, en el bien
entendido que la jurisprudencia ha dejado sentado que por incompatibles ha de
entenderse distintos.
El artículo 5 de la LOPD recoge el derecho de información en la recogida de datos.
Sin necesidad de realizar un análisis exhaustivo del mismo y en cuanto en la propia
consulta se cita la iniciativa “Gizonduz” desarrollada por el órgano consultante, ha
accedido esta Agencia a las cláusulas informativas que obran en la dirección a la
que se refiere el escrito de consulta en relación al programa de formación y
sensibilización, siendo el contenido de dichas cláusulas diverso y, en ocasiones, a
juicio de esta Agencia, manifiestamente mejorables o siendo posible también
introducir en las mismas mejoras que permitan un mayor ajuste a los requisitos
exigidos por dicho artículo 5 LOPD.
Así, mientras la cláusula informativa contenida en el boletín de inscripción para
cursos presenciales contiene, en lo básico, los requisitos previstos en dicho artículo
5, no puede decirse lo mismo de la cláusula de “privacidad” que se contiene en el
curso de formación on-line hombres, igualdad y masculinidades.
En definitiva por lo tanto, sería recomendable reelaborar y unificar las cláusulas
informativas antes de proceder a la recogida de los datos de carácter personal en la
implantación del proyecto, para así dar mejor cumplimiento al principio de
información contenido en el artículo 5 LOPD.
El artículo 6 de la LOPD contiene el principio de consentimiento, de acuerdo con el
cual, “el tratamiento de los datos de carácter personal requerirá el consentimiento
inequívoco del afectado, salvo que la ley disponga otra cosa.”
Para el presente supuesto, sin perjuicio de que fuera posible prescindir del
consentimiento de acuerdo con lo dispuesto en el apartado 2 de dicho artículo 6 y en
cuanto “las personas deberán registrarse para participar en la aventura gráfica y en
la comunidad virtual” procediéndose por lo tanto a la recogida de datos de carácter
personal, sería recomendable, y desde luego evitaría cualquier problema desde la
perspectiva que nos ocupa, la inclusión en los modelos de inscripción o recogida de
alguna fórmula a través de la cual se solicitara el consentimiento de las personas
para el tratamiento de sus datos de carácter personal.
En relación a las previsiones de los artículos 7 y 8 de la LOPD, de acuerdo con los
datos que serán objeto de recogida y en cuanto entre los mismos no se encontrará
ninguno de los especialmente protegidos a los que se refieren dichos artículos, no
serían de aplicación las previsiones en ellos contenidas.
El artículo 9 de la LOPD se encarga de las medidas de seguridad. De acuerdo con
dicho artículo y con el desarrollo que del mismo realiza el Título VIII del Real Decreto
4
1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo
de la LOPD, y atendiendo al tipo de datos que van a ser objeto de recogida y de
integración en el correspondiente fichero, el nivel de seguridad exigible será el
básico.
En el artículo 10 de la LOPD se formula el deber de secreto, de acuerdo con el cual
“El responsable del fichero y quienes intervengan en cualquier fase del
tratamiento de los datos de carácter personal están obligados al secreto
profesional respecto de los mismos y al deber de guardarlos, obligaciones que
subsistirán aún después de finalizar sus relaciones con el titular del fichero o,
en su caso, con el responsable del mismo.”
Poco cabe decir de tal principio. Si acaso realizar un recordatorio de cómo ha
configurado esta Agencia el mismo en diferentes resoluciones.
Así, se ha dicho que
“El deber de secreto trata de salvaguardar o tutelar el derecho de las
personas a mantener la privacidad de sus datos de carácter personal y en
definitiva el poder de control o disposición sobre sus datos. Este deber de
secreto está lógicamente relacionado con el secreto profesional, tiene la
misma fundamentación jurídica, pero el deber de secreto de la LOPD se refiere
al ámbito estricto del tratamiento de los datos personales, en el que el
responsable del fichero y cualquier persona que intervenga en el tratamiento,
está obligado a mantener la confidencialidad de los datos personales y no
pueda revelar ni dar a conocer su contenido.” (Resolución de la Agencia
Española de Protección de Datos R/01633/2010, de 26 de julio
Este deber es una exigencia elemental y anterior al propio reconocimiento del
derecho fundamental a la libertad informática a que se refiere la STC
292/2000, y por lo que ahora interesa, comporta que los datos, tratados
automatizadamente o de cualquier otra manera, no puedan ser conocidos por
ninguna persona o entidad ajena fuera de los casos autorizados por la Ley,
pues en eso consiste precisamente el secreto.”
El artículo 11 LOPD contiene el régimen de la Comunicación de Datos y debe ser
puesto en relación con el artículo 21 que contiene específicamente el que regula la
comunicación entre Administraciones Públicas.
Cabe aquí también recordar la descripción que de tales regímenes ha realizado esta
Agencia.
Y ello comenzando por la propia definición de comunicación que contiene el artículo
3 i) de la LOPD de acuerdo con el cual se considera tal “toda revelación de datos
realizada a una persona distinta del interesado”.
Siendo los artículos 11 y 21 LOPD los que contienen el régimen jurídico de dichas
comunicaciones el primero (“Comunicación de datos”), establece en lo que más
puede interesar ahora que
“1. Los datos de carácter personal objeto del tratamiento sólo podrán ser
comunicados a un tercero para el cumplimiento de fines directamente
5
relacionados con las funciones legítimas del cedente y del cesionario con el
previo consentimiento del interesado.
2. El consentimiento exigido en el apartado anterior no será preciso:
a) cuando la cesión esté autorizada por una Ley.”
Así, el cumplimiento de fines directamente relacionados con las funciones legítimas
de cedente y cesionario y el consentimiento de los interesados constituyen la regla
general en la comunicación de datos de carácter personal, no obstante, cuando la
cesión esté autorizada por una Ley, no será necesario tal consentimiento.
La lógica de dicho artículo viene perfectamente sintetizada en la STC 292/2000
tantas veces citada. De acuerdo con la misma
“El derecho a consentir la recogida y el tratamiento de los datos personales
(art. 6 LOPD) no implica en modo alguno consentir la cesión de tales datos a
terceros, pues constituye una facultad específica que también forma parte del
contenido del derecho fundamental a la protección de tales datos. Y, por tanto,
la cesión de los mismos a un tercero para proceder a un tratamiento con fines
distintos de los que originaron su recogida, aun cuando puedan ser
compatibles con éstos (art. 4.2 LOPD), supone una nueva posesión y uso que
requiere el consentimiento del interesado. Una facultad que sólo cabe limitar
en atención a derechos y bienes de relevancia constitucional y, por tanto, esté
justificada, sea proporcionada y, además, se establezca por Ley, pues el
derecho fundamental a la protección de datos personales no admite otros
límites.”
Esto es, como tiene declarado esta Agencia Vasca de Protección de Datos.
“En consecuencia, para que una cesión de datos pueda considerarse
amparada en el artículo 11.2 a) de la Ley Orgánica 15/1999 será necesario
que una norma con rango de Ley venga a perfilar el alcance y finalidad de
dicha cesión, sin perjuicio de que la misma pueda, siempre dentro del marco
perfilado, aclararse mediante el desarrollo reglamentario de dicha Ley. Por el
contrario, no bastaría que la Ley se limitara a establecer una regla general de
cesión sin aclarar su finalidad, su alcance o los destinatarios de la misma,
quedando dicha delimitación, en su totalidad, pendiente de lo que dispusiera la
norma reglamentaria.”
Por otra parte, el artículo 21 de la LOPD establece que
“Los datos de carácter personal recogidos o elaborados por las
Administraciones Públicas para el desempeño de sus atribuciones no serán
comunicados a otras Administraciones públicas para el ejercicio de
competencias diferentes o de competencias que versen sobre materias
distintas, salvo cuando la comunicación tenga por objeto el tratamiento
posterior de los datos con fines históricos, estadísticos o científicos”.
El Tribunal Constitucional aunque se refirió a tal artículo de la LOPD precisamente y
en lo que más puede interesar ahora, para declarar inconstitucional un inciso de su
apartado primero que permitía excepcionar el consentimiento del afectado en la
comunicación entre administraciones para el ejercicio de competencias o materias
diferentes cuando así lo previese la norma de creación del fichero o por disposición
6
de superior rango, al no fijar por sí misma los límites al derecho a consentir la cesión
de datos personales entre administraciones públicas para el ejercicio de
competencias o materias diferentes limitándose a identificar la norma que puede
hacerlo en su lugar y que bien podía ser reglamentaria, no aclaró el alcance de la
expresión “ejercicio de competencias diferentes o de competencias que versen
sobre materias distintas”, refiriéndose a “cesiones entre administraciones públicas
para fines distintos a los que motivaron originariamente su recogida y a los que
alcanza únicamente el consentimiento inicialmente prestado por el afectado”
remitiendo de esta manera la cuestión a uno de los principios de la protección de
datos de carácter personal contenidos en el Título II de la LOPD, el de finalidad.
Con relación a la cesión entre Administraciones ha sido clara la STS, Secc. 3ª, de
15-4-2002 (RJ 2002, 4689) que examina el art. 28.1 del RD 7/2001, de 12 de enero,
por el que se aprueba el reglamento sobre la responsabilidad civil y seguro en la
circulación de vehículos a motor. El mencionado precepto prevé la posibilidad de
cederse los datos que figuren en sus ficheros entre el Ministerio de Economía, a
través del Consorcio de Compensación de Seguros, y el Ministerio del Interior.
Afirma la sentencia que «la cesión o comunicación de los datos entre
Administraciones Públicas, mientras se lleve a cabo, precisa y únicamente, para
alcanzar el fin o uno de los fines a los que obedece la creación misma del fichero y
la propia recogida de aquéllos, y no, por tanto, para el ejercicio de competencias
diferentes o de competencias que versen sobre materias distintas, queda ya
amparada por el consentimiento inicialmente prestado por el titular de los datos para
su recogida y tratamiento. Es decir, en tal caso, huelga la necesidad de un nuevo
consentimiento cuyo objeto específico sea aquella cesión o comunicación».
Concluye finalmente el alto tribunal que «Es esto lo que acontece con el artículo
28.1, párrafo primero, del Reglamento impugnado, pues la cesión de datos que en él
se prevé no lo es sino para alcanzar una de las finalidades a las que obedece la
creación del fichero informativo de vehículos asegurados, cual es la del control de la
obligación de asegurarse.
Cabe tan solo recordar la importancia de sujetarse estrictamente a los requisitos
contenidos en dichos artículos en cuanto la comunicación de datos puede
considerarse como la acción que más compromete al derecho fundamental. Por
dicha razón resulta sumamente conveniente realizar una detallada valoración sobre
la necesidad de proceder a dichas comunicaciones antes de proceder a las mismas.
Cierra dicho Título II de la LOPD, el artículo 12, relativo a los requisitos exigidos para
la prestación de servicios por un encargado de tratamiento, siendo destacables los
siguientes aspectos:
En lo que atañe a los requisitos formales, el artículo 12.2 impone que “la realización
de tratamientos por cuenta de terceros deberá estar regulada en un contrato que
deberá constar por escrito o en alguna otra forma que permita acreditar su
celebración y contenido, estableciéndose expresamente que el encargado del
tratamiento únicamente tratará los datos conforme a las instrucciones del
responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que
7
figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras
personas”.
La regulación concreta de los términos del contrato entre el Responsable y el
encargado de tratamiento se desarrolla en los artículos 20 a 22 del Reglamento de
desarrollo de la Ley Orgánica 15/1999.
El artículo 20 regula las relaciones entre el responsable y el encargado del
tratamiento, señalando que:
“1. El acceso a los datos por parte de un encargado del tratamiento que
resulte necesario para la prestación de un servicio al responsable no se
considerará comunicación de datos, siempre y cuando se cumpla lo
establecido en la Ley Orgánica 15/1999, de 13 de diciembre y en el presente
capítulo.
El servicio prestado por el encargado del tratamiento podrá tener o no carácter
remunerado y ser temporal o indefinido.
No obstante, se considerará que existe comunicación de datos cuando el
acceso tenga por objeto el establecimiento de un nuevo vínculo entre quien
accede a los datos y el afectado.
2. Cuando el responsable del tratamiento contrate la prestación de un servicio
que comporte un tratamiento de datos personales sometido a lo dispuesto en
este capítulo deberá velar por que el encargado del tratamiento reúna las
garantías para el cumplimiento de lo dispuesto en este Reglamento
3. En el caso de que el encargado del tratamiento destine los datos a otra
finalidad, los comunique o los utilice incumpliendo las estipulaciones del
contrato al que se refiere el apartado 2 del artículo 12 de la Ley Orgánica
15/1999, de 13 de diciembre, será considerado, también, responsable del
tratamiento, respondiendo de las infracciones en que hubiera incurrido
personalmente.
No obstante, el encargado del tratamiento no incurrirá en responsabilidad
cuando, previa indicación expresa del responsable, comunique los datos a un
tercero designado por aquél, al que hubiera encomendado la prestación de un
servicio conforme a lo previsto en el presente capítulo.”
Por su parte el artículo 21 regula la posibilidad de subcontratación de los servicios,
estableciendo que
“1. El encargado del tratamiento no podrá subcontratar con un tercero la
realización de ningún tratamiento que le hubiera encomendado el responsable
del tratamiento, salvo que hubiera obtenido de éste autorización para ello. En
este caso, la contratación se efectuará siempre en nombre y por cuenta del
responsable del tratamiento.
2. No obstante lo dispuesto en el apartado anterior, será posible la
subcontratación sin necesidad de autorización siempre y cuando se cumplan
los siguientes requisitos:
a) Que se especifiquen en el contrato los servicios que puedan ser objeto de
subcontratación y, si ello fuera posible, la empresa con la que se vaya a
subcontratar.
8
Cuando no se identificase en el contrato la empresa con la que se vaya a
subcontratar, será preciso que el encargado del tratamiento comunique al
responsable los datos que la identifiquen antes de proceder a la
subcontratación.
b) Que el tratamiento de datos de carácter personal por parte del
subcontratista se ajuste a las instrucciones del responsable del fichero.
c) Que el encargado del tratamiento y la empresa subcontratista formalicen el
contrato, en los términos previstos en el artículo anterior.
En este caso, el subcontratista será considerado encargado del tratamiento,
siéndole de aplicación lo previsto en el artículo 20.3 de este reglamento.
3. Si durante la prestación del servicio resultase necesario subcontratar una
parte del mismo y dicha circunstancia no hubiera sido prevista en el contrato,
deberán someterse al responsable del tratamiento los extremos señalados en
el apartado anterior.”
II
Realizado el anterior repaso general a los principios de la protección de datos a los
que debe necesariamente de sujetarse cualquier tratamiento, debe ahora hacerse
referencia a alguna cuestión más concreta y que es citada de forma específica en el
escrito de consulta.
Así, por lo que respecta al “…encaje con las características de los ficheros
registrados por Emakunde-Instituto Vasco de la Mujer”, debe destacarse la muy
reciente aprobación y publicación de los ficheros de tal instituto a través del Decreto
3/2012, de 24 de enero, del Lehendakari, por el que se regulan los ficheros de datos
de carácter personal de la Presidencia del Gobierno y del organismo autónomo
Emakunde-Instituto Vasco de la Mujer.
A juicio de esta Agencia, el único fichero en el que pudieran tener encaje los datos
de carácter personal objeto de recogida sería el de “Registro de Personas” (que es
por cierto el mismo fichero citado en el boletín de inscripción para cursos
presenciales al que se ha hecho referencia más arriba) cuya finalidad y usos
previstos es el de gestionar la relación con las personas con las que tiene relación
Emakunde-Instituto Vasco de la Mujer.
Siendo desde luego una cuestión de autoorganización que compete de manera
única y exclusiva al órgano consultante, y por lo tanto dicho con toda cautela,
prudencia y máximo respeto a dicha competencia, y visto que las finalidades de tal
fichero son diversas, pudiera plantearse, se insiste, dicho con toda prudencia y
cautela, la conveniencia de crear un fichero específico para el tratamiento de los
datos de carácter personal que sean objeto de recogida para el desarrollo de
proyectos como el descrito en la consulta o los que se citan igualmente en ella.
Una segunda cuestión a tener en cuenta a la vista de la información que se ofrece
en el escrito de consulta vendría constituida por la participación en el proyecto de
personas menores de edad que constituyen como en dicho escrito se expresa “El
público destinatario” y, en definitiva, del que se van a recoger los datos de carácter
personal.
9
Cabe únicamente recordar al respecto que el Real Decreto 1720/2007, de 21 de
diciembre, de desarrollo de la LOPD, contiene un artículo, el 13, dedicado
exclusivamente al consentimiento de los menores.
En cualquier caso, y además de lo en él previsto, resulta recomendable dada la
especial vulnerabilidad del colectivo extremar las precauciones en todo lo que se
refiera al tratamiento de sus datos de carácter personal.
Por último y en cuanto a la citada “conexión con datos de centros escolares”, sin
alcanzar esta Agencia a conocer exactamente a qué se refiere tal expresión pero en
una primera aproximación, pudiera pensarse que la misma supondrá un acceso por
parte del órgano consultante a datos de carácter personal que obren en ficheros de
los mismos o viceversa por lo que, de ser así, debe destacarse que dichas
operaciones desde la perspectiva del derecho fundamental constituirían cesiones o
comunicaciones de datos de carácter personal, quedando por lo tanto sometidas al
régimen jurídico previsto en los artículos 11 y 21 señalado más arriba, debiendo
tenerse y por lo dicho, especial cautela en la realización de las mismas, siendo
obligado analizar con detenimiento incluso la misma posibilidad de realizarlas.
A juicio de esta Agencia, y tal como se dijo al principio de las presentes
Consideraciones, inicialmente son las anteriores las principales cuestiones que
debieran tenerse en cuenta en relación al proyecto, sin perjuicio de que de la
concreción, desarrollo y ejecución del mismo pudieran derivarse otras sobre las
cuales, y si el órgano consultante lo considerara oportuno, podría también
pronunciarse esta Agencia.
En Vitoria-Gasteiz, a 20 de marzo de 2012
10
Descargar