CN12-001 DICTAMEN QUE SE EMITE EN RELACIÓN A LA CONSULTA PLANTEADA POR EMAKUNDE-INSTITUTO VASCO DE LA MUJER EN RELACIÓN A LA IMPLANTACIÓN DEL PROYECTO “GAZTEAK BERDINTASUNEAN 2.0”. ANTECEDENTES PRIMERO: Con fecha 4 de enero de 2012 tiene entrada en esta Agencia Vasca de Protección de Datos escrito de la Sra. Secretaria General de EMAKUNDE-Instituto Vasco de la Mujer en relación con el asunto arriba referenciado. SEGUNDO: En dicho escrito se expresa lo siguiente: “Gizonduz es una iniciativa de Emakunde-Instituto Vasco de la Mujer dirigida a promover la concienciación, participación e implicación de los hombres en pro de la igualdad de las mujeres y hombres y contra la violencia hacia las mujeres. Uno de los ejes fundamentales para lograr la implicación de los hombres ha sido el programa de formación y sensibilización, tanto presencial como on line que ha estado enfocado de forma casi exclusiva a la población adulta. Las intervenciones con jóvenes han sido muy puntuales y en todas ellas se ha constatado la necesidad de contar con materiales y estrategias específicas para llegar a este sector de la población. Por ello estamos desarrollando un proyecto denominado Gazteak berdintasunean 2.0 que consiste fundamentalmente en una herramienta participativa de formación, sensibilización e investigación basada en las nuevas tecnologías que pretende ser universal y accesible a todo el profesorado de la CAV a las escuelas y a los y las jóvenes de forma libre. El objetivo general del proyecto es promover la concienciación e implicación de las personas adolescentes y jóvenes y en particular de los hombres a favor de la igualdad de mujeres y hombres y contra la violencia hacia las mujeres mediante la utilización de herramientas educativas innovadoras basadas en las nuevas tecnologías. Los objetivos específicos son los siguientes: Recoger información continua y sistematizada sobre la percepción (opiniones que tienen los chicos y las chicas sobre la igualdad, las violencias masculinas y la violencia hacia las mujeres. Sensibilizar a los chicos en materia de igualdad, regulación no violenta de los conflictos interpersonales y violencias masculinas. Ayudar a visibilizar situaciones y actitudes de violencia, acoso y control en la vida cotidiana de los y las jóvenes. Favorecer cambios de actitud en los jóvenes hacia posiciones más igualitarias y el empoderamiento de las jóvenes. c/ Beato Tomás de Zumárraga, 71, 3º - 01008 Vitoria – Gasteiz - Tel. 945 016 230 - Fax. 945 016 231 avpd@avpd.es www.avpd.es Proponer modelos alternativos de masculinidad. Desarrollar herramientas educativas innovadoras aplicando las nuevas tecnologías. Desarrollar unidades didácticas específicas de formación, dirigidas al profesorado, formadores y formadoras, etcétera. Facilitar herramientas complementarias de intervención con jóvenes al profesorado, formadores y formadoras, agentes de igualdad… Complementar el trabajo que se está desarrollando en el marco del programa Nahiko de Emakunde y de Berdinsarea dirigido a la sensibilización de niñas, niños y adolescentes a favor de la igualdad y en contra de la violencia hacia las mujeres. Para conseguir estos objetivos el programa constará de tres plataformas Una web informativa o escaparate que muestre información del proyecto, desarrollo y fases del mismo así como de las entidades implicadas. Una aventura gráfica on-line (videojuego) y en la comunidad virtual. Por tanto e recabará información tanto de sus datos identificativos (nombre y apellidos, nick, sexo, edad y nivel de estudios) como de sus opciones y opiniones con relación a diferentes cuestiones relacionadas con la igualdad de mujeres y hombres y la violencia sexista que se les vayan planteando en el momento que hagan uso de la aventura gráfica. El público beneficiario serán centros escolares, profesorado en general, especialistas en educación, agentes de igualdad, etcétera. Es decir la idea es que la participación de chicos y chicas en las tres plataformas se promueva y articule fundamentalmente a través de las referidas instituciones y profesionales sin perjuicio de que también pueda ser utilizadas directamente por quienes tenga interés en hacerlo fuera de dichos entornos. A la vista de todo lo expuesto desearíamos tramitar una consulta sobre el tratamiento de datos de aplicación, de los accesos e identificaciones de las personas usuarias, conexión con datos de centros escolares, etc y el encaje con las características de los ficheros registrados por Emakunde-Instituto Vasco de la Mujer en la Agencia” TERCERO: El artículo 17.1 de la Ley 2/2004, de 25 de febrero, de Ficheros de Datos de Carácter Personal de Titularidad Pública y de Creación de la Agencia Vasca de Protección de Datos, en su apartado n) atribuye a la Agencia Vasca de Protección de Datos la siguiente función: “Atender a las consultas que en materia de protección de datos de carácter personal le formulen las administraciones públicas, instituciones y corporaciones a que se refiere el artículo 2.1 de esta Ley, así como otras personas físicas o jurídicas, en relación con los tratamientos de datos de carácter personal incluidos en el ámbito de aplicación de esta Ley.” Corresponde a esta Agencia Vasca de Protección de Datos, en virtud de la normativa más arriba citada, la emisión del informe en respuesta a la consulta formulada. 2 CONSIDERACIONES I Dado el carácter con que se formula la consulta, considera esta Agencia que como mejor puede ayudar al órgano consultante, al menos inicialmente, es intentando describir cuáles puedan ser los principales aspectos a tener en cuenta desde la perspectiva del derecho fundamental a la protección de datos en la implantación del proyecto que se está desarrollando, partiendo para ello de la descripción que de dicho proyecto se realiza en el escrito de consulta, y sin perjuicio de que se intente también una aproximación a las cuestiones concretas que se citan en dicho escrito. Para ello no encuentra esta Agencia mejor modo de hacerlo que realizar un somero repaso de los “Principios de la Protección de Datos”, utilizando el término que encabeza el Título II de la LOPD. De esta manera, se inicia dicho Título con el artículo 4 relativo a la “Calidad de los datos”. El apartado primero de dicho artículo señala que “los datos de carácter personal sólo se podrán recoger para su tratamiento así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.” De acuerdo con la consulta, se recabará información tanto de los datos identificativos (nombre y apellidos, nick, sexo, edad y nivel de estudios) como de sus posiciones u opiniones con relación a diferentes cuestiones relacionadas con la igualdad de mujeres y hombres y la violencia sexista que se les vayan planteando en el momento que hagan uso de la aventura gráfica. Según se desprende de la consulta, aunque las personas pueden participar en las tres plataformas, sólo se recogerán los datos de aquellas que participen en la aventura gráfica y en la comunidad virtual. Como establece el artículo trascrito más arriba, los datos que deban ser objeto de recogida están en relación con las finalidades para las que se recogen. Por ello y sin perjuicio de que sólo en dos de las tres plataformas se recojan los datos, visto el objetivo general y los objetivos específicos (que constituyen desde la perspectiva del derecho fundamental “la finalidad” a la que se refiere el artículo 4 LOPD) debiera el órgano consultante cuestionarse de qué manera resulta necesario proceder a la identificación de las personas que accedan a dicha plataforma en cuanto, en una primera lectura de los objetivos, puede que no sea necesaria la identificación de los y las usuarias. Dicha cuestión puede resultar del máximo interés porque obsérvese que si se llegara a la conclusión de que la identificación de la persona concreta poco aporta al efectivo cumplimiento de la finalidad, bastando con datos genéricos y no se precisara la recogida de datos identificativos no sería de aplicación la normativa de protección de datos porque en realidad no habría datos de carácter personal. 3 En cualquier caso, y si se considerara que la identificación de los usuarios es necesaria para el cumplimiento de la finalidad (objetivos) los citados en la consulta parecen adecuados, pertinentes y no excesivos. Debe advertirse de la misma manera que, de acuerdo con el apartado segundo de dicho artículo 4 de la LOPD los datos así recogidos no podrán ser tratados para finalidades incompatibles con aquellas para las que fueron recogidos, en el bien entendido que la jurisprudencia ha dejado sentado que por incompatibles ha de entenderse distintos. El artículo 5 de la LOPD recoge el derecho de información en la recogida de datos. Sin necesidad de realizar un análisis exhaustivo del mismo y en cuanto en la propia consulta se cita la iniciativa “Gizonduz” desarrollada por el órgano consultante, ha accedido esta Agencia a las cláusulas informativas que obran en la dirección a la que se refiere el escrito de consulta en relación al programa de formación y sensibilización, siendo el contenido de dichas cláusulas diverso y, en ocasiones, a juicio de esta Agencia, manifiestamente mejorables o siendo posible también introducir en las mismas mejoras que permitan un mayor ajuste a los requisitos exigidos por dicho artículo 5 LOPD. Así, mientras la cláusula informativa contenida en el boletín de inscripción para cursos presenciales contiene, en lo básico, los requisitos previstos en dicho artículo 5, no puede decirse lo mismo de la cláusula de “privacidad” que se contiene en el curso de formación on-line hombres, igualdad y masculinidades. En definitiva por lo tanto, sería recomendable reelaborar y unificar las cláusulas informativas antes de proceder a la recogida de los datos de carácter personal en la implantación del proyecto, para así dar mejor cumplimiento al principio de información contenido en el artículo 5 LOPD. El artículo 6 de la LOPD contiene el principio de consentimiento, de acuerdo con el cual, “el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa.” Para el presente supuesto, sin perjuicio de que fuera posible prescindir del consentimiento de acuerdo con lo dispuesto en el apartado 2 de dicho artículo 6 y en cuanto “las personas deberán registrarse para participar en la aventura gráfica y en la comunidad virtual” procediéndose por lo tanto a la recogida de datos de carácter personal, sería recomendable, y desde luego evitaría cualquier problema desde la perspectiva que nos ocupa, la inclusión en los modelos de inscripción o recogida de alguna fórmula a través de la cual se solicitara el consentimiento de las personas para el tratamiento de sus datos de carácter personal. En relación a las previsiones de los artículos 7 y 8 de la LOPD, de acuerdo con los datos que serán objeto de recogida y en cuanto entre los mismos no se encontrará ninguno de los especialmente protegidos a los que se refieren dichos artículos, no serían de aplicación las previsiones en ellos contenidas. El artículo 9 de la LOPD se encarga de las medidas de seguridad. De acuerdo con dicho artículo y con el desarrollo que del mismo realiza el Título VIII del Real Decreto 4 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD, y atendiendo al tipo de datos que van a ser objeto de recogida y de integración en el correspondiente fichero, el nivel de seguridad exigible será el básico. En el artículo 10 de la LOPD se formula el deber de secreto, de acuerdo con el cual “El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aún después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.” Poco cabe decir de tal principio. Si acaso realizar un recordatorio de cómo ha configurado esta Agencia el mismo en diferentes resoluciones. Así, se ha dicho que “El deber de secreto trata de salvaguardar o tutelar el derecho de las personas a mantener la privacidad de sus datos de carácter personal y en definitiva el poder de control o disposición sobre sus datos. Este deber de secreto está lógicamente relacionado con el secreto profesional, tiene la misma fundamentación jurídica, pero el deber de secreto de la LOPD se refiere al ámbito estricto del tratamiento de los datos personales, en el que el responsable del fichero y cualquier persona que intervenga en el tratamiento, está obligado a mantener la confidencialidad de los datos personales y no pueda revelar ni dar a conocer su contenido.” (Resolución de la Agencia Española de Protección de Datos R/01633/2010, de 26 de julio Este deber es una exigencia elemental y anterior al propio reconocimiento del derecho fundamental a la libertad informática a que se refiere la STC 292/2000, y por lo que ahora interesa, comporta que los datos, tratados automatizadamente o de cualquier otra manera, no puedan ser conocidos por ninguna persona o entidad ajena fuera de los casos autorizados por la Ley, pues en eso consiste precisamente el secreto.” El artículo 11 LOPD contiene el régimen de la Comunicación de Datos y debe ser puesto en relación con el artículo 21 que contiene específicamente el que regula la comunicación entre Administraciones Públicas. Cabe aquí también recordar la descripción que de tales regímenes ha realizado esta Agencia. Y ello comenzando por la propia definición de comunicación que contiene el artículo 3 i) de la LOPD de acuerdo con el cual se considera tal “toda revelación de datos realizada a una persona distinta del interesado”. Siendo los artículos 11 y 21 LOPD los que contienen el régimen jurídico de dichas comunicaciones el primero (“Comunicación de datos”), establece en lo que más puede interesar ahora que “1. Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente 5 relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado. 2. El consentimiento exigido en el apartado anterior no será preciso: a) cuando la cesión esté autorizada por una Ley.” Así, el cumplimiento de fines directamente relacionados con las funciones legítimas de cedente y cesionario y el consentimiento de los interesados constituyen la regla general en la comunicación de datos de carácter personal, no obstante, cuando la cesión esté autorizada por una Ley, no será necesario tal consentimiento. La lógica de dicho artículo viene perfectamente sintetizada en la STC 292/2000 tantas veces citada. De acuerdo con la misma “El derecho a consentir la recogida y el tratamiento de los datos personales (art. 6 LOPD) no implica en modo alguno consentir la cesión de tales datos a terceros, pues constituye una facultad específica que también forma parte del contenido del derecho fundamental a la protección de tales datos. Y, por tanto, la cesión de los mismos a un tercero para proceder a un tratamiento con fines distintos de los que originaron su recogida, aun cuando puedan ser compatibles con éstos (art. 4.2 LOPD), supone una nueva posesión y uso que requiere el consentimiento del interesado. Una facultad que sólo cabe limitar en atención a derechos y bienes de relevancia constitucional y, por tanto, esté justificada, sea proporcionada y, además, se establezca por Ley, pues el derecho fundamental a la protección de datos personales no admite otros límites.” Esto es, como tiene declarado esta Agencia Vasca de Protección de Datos. “En consecuencia, para que una cesión de datos pueda considerarse amparada en el artículo 11.2 a) de la Ley Orgánica 15/1999 será necesario que una norma con rango de Ley venga a perfilar el alcance y finalidad de dicha cesión, sin perjuicio de que la misma pueda, siempre dentro del marco perfilado, aclararse mediante el desarrollo reglamentario de dicha Ley. Por el contrario, no bastaría que la Ley se limitara a establecer una regla general de cesión sin aclarar su finalidad, su alcance o los destinatarios de la misma, quedando dicha delimitación, en su totalidad, pendiente de lo que dispusiera la norma reglamentaria.” Por otra parte, el artículo 21 de la LOPD establece que “Los datos de carácter personal recogidos o elaborados por las Administraciones Públicas para el desempeño de sus atribuciones no serán comunicados a otras Administraciones públicas para el ejercicio de competencias diferentes o de competencias que versen sobre materias distintas, salvo cuando la comunicación tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos”. El Tribunal Constitucional aunque se refirió a tal artículo de la LOPD precisamente y en lo que más puede interesar ahora, para declarar inconstitucional un inciso de su apartado primero que permitía excepcionar el consentimiento del afectado en la comunicación entre administraciones para el ejercicio de competencias o materias diferentes cuando así lo previese la norma de creación del fichero o por disposición 6 de superior rango, al no fijar por sí misma los límites al derecho a consentir la cesión de datos personales entre administraciones públicas para el ejercicio de competencias o materias diferentes limitándose a identificar la norma que puede hacerlo en su lugar y que bien podía ser reglamentaria, no aclaró el alcance de la expresión “ejercicio de competencias diferentes o de competencias que versen sobre materias distintas”, refiriéndose a “cesiones entre administraciones públicas para fines distintos a los que motivaron originariamente su recogida y a los que alcanza únicamente el consentimiento inicialmente prestado por el afectado” remitiendo de esta manera la cuestión a uno de los principios de la protección de datos de carácter personal contenidos en el Título II de la LOPD, el de finalidad. Con relación a la cesión entre Administraciones ha sido clara la STS, Secc. 3ª, de 15-4-2002 (RJ 2002, 4689) que examina el art. 28.1 del RD 7/2001, de 12 de enero, por el que se aprueba el reglamento sobre la responsabilidad civil y seguro en la circulación de vehículos a motor. El mencionado precepto prevé la posibilidad de cederse los datos que figuren en sus ficheros entre el Ministerio de Economía, a través del Consorcio de Compensación de Seguros, y el Ministerio del Interior. Afirma la sentencia que «la cesión o comunicación de los datos entre Administraciones Públicas, mientras se lleve a cabo, precisa y únicamente, para alcanzar el fin o uno de los fines a los que obedece la creación misma del fichero y la propia recogida de aquéllos, y no, por tanto, para el ejercicio de competencias diferentes o de competencias que versen sobre materias distintas, queda ya amparada por el consentimiento inicialmente prestado por el titular de los datos para su recogida y tratamiento. Es decir, en tal caso, huelga la necesidad de un nuevo consentimiento cuyo objeto específico sea aquella cesión o comunicación». Concluye finalmente el alto tribunal que «Es esto lo que acontece con el artículo 28.1, párrafo primero, del Reglamento impugnado, pues la cesión de datos que en él se prevé no lo es sino para alcanzar una de las finalidades a las que obedece la creación del fichero informativo de vehículos asegurados, cual es la del control de la obligación de asegurarse. Cabe tan solo recordar la importancia de sujetarse estrictamente a los requisitos contenidos en dichos artículos en cuanto la comunicación de datos puede considerarse como la acción que más compromete al derecho fundamental. Por dicha razón resulta sumamente conveniente realizar una detallada valoración sobre la necesidad de proceder a dichas comunicaciones antes de proceder a las mismas. Cierra dicho Título II de la LOPD, el artículo 12, relativo a los requisitos exigidos para la prestación de servicios por un encargado de tratamiento, siendo destacables los siguientes aspectos: En lo que atañe a los requisitos formales, el artículo 12.2 impone que “la realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que 7 figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas”. La regulación concreta de los términos del contrato entre el Responsable y el encargado de tratamiento se desarrolla en los artículos 20 a 22 del Reglamento de desarrollo de la Ley Orgánica 15/1999. El artículo 20 regula las relaciones entre el responsable y el encargado del tratamiento, señalando que: “1. El acceso a los datos por parte de un encargado del tratamiento que resulte necesario para la prestación de un servicio al responsable no se considerará comunicación de datos, siempre y cuando se cumpla lo establecido en la Ley Orgánica 15/1999, de 13 de diciembre y en el presente capítulo. El servicio prestado por el encargado del tratamiento podrá tener o no carácter remunerado y ser temporal o indefinido. No obstante, se considerará que existe comunicación de datos cuando el acceso tenga por objeto el establecimiento de un nuevo vínculo entre quien accede a los datos y el afectado. 2. Cuando el responsable del tratamiento contrate la prestación de un servicio que comporte un tratamiento de datos personales sometido a lo dispuesto en este capítulo deberá velar por que el encargado del tratamiento reúna las garantías para el cumplimiento de lo dispuesto en este Reglamento 3. En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato al que se refiere el apartado 2 del artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, será considerado, también, responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente. No obstante, el encargado del tratamiento no incurrirá en responsabilidad cuando, previa indicación expresa del responsable, comunique los datos a un tercero designado por aquél, al que hubiera encomendado la prestación de un servicio conforme a lo previsto en el presente capítulo.” Por su parte el artículo 21 regula la posibilidad de subcontratación de los servicios, estableciendo que “1. El encargado del tratamiento no podrá subcontratar con un tercero la realización de ningún tratamiento que le hubiera encomendado el responsable del tratamiento, salvo que hubiera obtenido de éste autorización para ello. En este caso, la contratación se efectuará siempre en nombre y por cuenta del responsable del tratamiento. 2. No obstante lo dispuesto en el apartado anterior, será posible la subcontratación sin necesidad de autorización siempre y cuando se cumplan los siguientes requisitos: a) Que se especifiquen en el contrato los servicios que puedan ser objeto de subcontratación y, si ello fuera posible, la empresa con la que se vaya a subcontratar. 8 Cuando no se identificase en el contrato la empresa con la que se vaya a subcontratar, será preciso que el encargado del tratamiento comunique al responsable los datos que la identifiquen antes de proceder a la subcontratación. b) Que el tratamiento de datos de carácter personal por parte del subcontratista se ajuste a las instrucciones del responsable del fichero. c) Que el encargado del tratamiento y la empresa subcontratista formalicen el contrato, en los términos previstos en el artículo anterior. En este caso, el subcontratista será considerado encargado del tratamiento, siéndole de aplicación lo previsto en el artículo 20.3 de este reglamento. 3. Si durante la prestación del servicio resultase necesario subcontratar una parte del mismo y dicha circunstancia no hubiera sido prevista en el contrato, deberán someterse al responsable del tratamiento los extremos señalados en el apartado anterior.” II Realizado el anterior repaso general a los principios de la protección de datos a los que debe necesariamente de sujetarse cualquier tratamiento, debe ahora hacerse referencia a alguna cuestión más concreta y que es citada de forma específica en el escrito de consulta. Así, por lo que respecta al “…encaje con las características de los ficheros registrados por Emakunde-Instituto Vasco de la Mujer”, debe destacarse la muy reciente aprobación y publicación de los ficheros de tal instituto a través del Decreto 3/2012, de 24 de enero, del Lehendakari, por el que se regulan los ficheros de datos de carácter personal de la Presidencia del Gobierno y del organismo autónomo Emakunde-Instituto Vasco de la Mujer. A juicio de esta Agencia, el único fichero en el que pudieran tener encaje los datos de carácter personal objeto de recogida sería el de “Registro de Personas” (que es por cierto el mismo fichero citado en el boletín de inscripción para cursos presenciales al que se ha hecho referencia más arriba) cuya finalidad y usos previstos es el de gestionar la relación con las personas con las que tiene relación Emakunde-Instituto Vasco de la Mujer. Siendo desde luego una cuestión de autoorganización que compete de manera única y exclusiva al órgano consultante, y por lo tanto dicho con toda cautela, prudencia y máximo respeto a dicha competencia, y visto que las finalidades de tal fichero son diversas, pudiera plantearse, se insiste, dicho con toda prudencia y cautela, la conveniencia de crear un fichero específico para el tratamiento de los datos de carácter personal que sean objeto de recogida para el desarrollo de proyectos como el descrito en la consulta o los que se citan igualmente en ella. Una segunda cuestión a tener en cuenta a la vista de la información que se ofrece en el escrito de consulta vendría constituida por la participación en el proyecto de personas menores de edad que constituyen como en dicho escrito se expresa “El público destinatario” y, en definitiva, del que se van a recoger los datos de carácter personal. 9 Cabe únicamente recordar al respecto que el Real Decreto 1720/2007, de 21 de diciembre, de desarrollo de la LOPD, contiene un artículo, el 13, dedicado exclusivamente al consentimiento de los menores. En cualquier caso, y además de lo en él previsto, resulta recomendable dada la especial vulnerabilidad del colectivo extremar las precauciones en todo lo que se refiera al tratamiento de sus datos de carácter personal. Por último y en cuanto a la citada “conexión con datos de centros escolares”, sin alcanzar esta Agencia a conocer exactamente a qué se refiere tal expresión pero en una primera aproximación, pudiera pensarse que la misma supondrá un acceso por parte del órgano consultante a datos de carácter personal que obren en ficheros de los mismos o viceversa por lo que, de ser así, debe destacarse que dichas operaciones desde la perspectiva del derecho fundamental constituirían cesiones o comunicaciones de datos de carácter personal, quedando por lo tanto sometidas al régimen jurídico previsto en los artículos 11 y 21 señalado más arriba, debiendo tenerse y por lo dicho, especial cautela en la realización de las mismas, siendo obligado analizar con detenimiento incluso la misma posibilidad de realizarlas. A juicio de esta Agencia, y tal como se dijo al principio de las presentes Consideraciones, inicialmente son las anteriores las principales cuestiones que debieran tenerse en cuenta en relación al proyecto, sin perjuicio de que de la concreción, desarrollo y ejecución del mismo pudieran derivarse otras sobre las cuales, y si el órgano consultante lo considerara oportuno, podría también pronunciarse esta Agencia. En Vitoria-Gasteiz, a 20 de marzo de 2012 10