TODO LO QUE SIEMPRE QUISO SABER SOBRE

Anuncio
TODO LO QUE SIEMPRE QUISO SABER SOBRE PROTECCION DE DATOS
Y TEMÍA PREGUNTAR
(o cómo legalizar nuestros ficheros antes de que nos impongan una sanción)
A raíz de las consultas recibidas en la Asociación, hemos creído oportuno
confeccionar el siguiente documento con las cuestiones básica en relación a
Protección de Datos y su aplicación a los Detectives Privados.
Este documento no constituye un consejo legal, sino una mera aproximación a
la normativa en materia de Protección de Datos y a las especificidades de la
aplicación de la misma a los Detectives Privados. La Junta Directiva quiere
señalar, con carácter previo:
a) Que la normativa en materia de Protección de Datos es compleja y que
no existe una aplicación “uniformizable” de la misma que sea válida para
todos los despachos.
b) Que el Detective Privado, en cuanto que profesional, está obligado al
cumplimiento de la LOPD, su Reglamento y disposiciones derivadas; si
bien la LSP supone algunas modificaciones significativas al régimen
general.
c) Que, en todo caso, esta materia es de especial atención por los
Detectives Privados y que ignorar las disposiciones en materia de
Protección de Datos puede comportar importantes sanciones
económicas.
d) Que el cumplimiento de la normativa es posible y sencillo; y que no
existe razón para posturas alarmistas ni para la ignorancia de la misma.
Para la realización de este documento hemos considerado oportuno huir de
una explicación técnica o exhaustiva, en pro de la mejor comprensión de la
materia y a riesgo de que algunas cuestiones no sean tratadas o lo sean sólo
superficialmente.
Asociación Profesional de Detectives Privados de España
C/ Marqués de Urquijo 6-8, 1º, puerta B, 28008 Madrid
Teléfono: +34 91 758 13 99 · Fax: +34 91 758 14 26 e-mail: info@apdpe.es
1.- ¿Qué es la Protección de Datos de Carácter Personal?
La normativa en materia de protección de datos regula los derechos de las
personas físicas respecto de los datos que les afecten (de los que son
“titulares”, en terminología de la Ley) y la recogida, tratamiento y cesión de los
mismos por terceros. Dado que la Ley utiliza conceptos muy laxos, en resumen
regula todo aquello relativo a la captación y “uso” de datos de personas físicas.
En la actualidad, la normativa aplicable está integrada por las siguientes
normas:
•
•
Ley Orgánica 15/1999, de 13 de diciembre, de Protección de
Datos de Carácter Personal.
Real Decreto 1720/2007, de 21 de diciembre, por el que se
aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999,
de 13 de diciembre, de protección de datos de carácter personal.
Además, la Ley otorga a la Agencia de Protección de Datos (AgPD) la facultad
de emitir instrucciones y recomendaciones que serán de obligado
cumplimiento. En 1999 la AgPD realizó una inspección de oficio al sector de los
Detectives Privados, que dio origen a un documento de recomendaciones. No
obstante, esta inspección se realizó bajo la vigencia de la extinta LORTAD y, a
la vista de la aprobación de la LOPD y de las resoluciones que se citarán en
este documento, no merece especial atención ahora. En todo caso, este
documento ni siquiera figura entre la normativa aplicable en la web de la AgPD.
Analizar la LOPD y su reglamento “en crudo” es una labor compleja. No
obstante, la AgPD dispone de una excelente página web en www.agpd.es con
–además de los textos legales- información esquematizada y resumida,
clasificada en atención a si el visitante lo hace como ciudadano o como
responsable de ficheros. Además, existen diversos cuadros resumen de tipos
de datos, medidas de seguridad, formularios de inscripción de ficheros,
resoluciones... en resumen, un material excelente para ampliar la información
de este documento y poner en marcha el registro de los ficheros.
2.- Ambito material de aplicación: La Ley NO se limita al “tratamiento
automatizado de datos”
A diferencia de la antigua LORTAD, la LOPD protege al titular del dato (la
persona física) y le otorga un control casi pleno sobre cualquier dato relativo a
su persona. Por ello, la Ley utiliza una definición extraordinariamente laxa del
término “tratamiento”, incluyendo en la práctica “cualquier cosa” que se haga
con un dato relativo a una persona física. Aplicado a nuestra actividad y para
2
ver la directa aplicación de la LOPD a la misma, una investigación para
identificar los bienes inmuebles propiedad de una persona física implica:
a) Captación de datos, al obtenerlos del Registro de la Propiedad.
b) Tratamiento de datos, al plasmarlos en un informe
c) Cesión de datos, al comunicarlos a nuestro cliente.
Por ello, el que un dato se obtenga de fuentes públicas abiertas (como en este
caso el Registro de la Propiedad), no significa que esté excluido de la
aplicación de la LOPD.
A modo de resumen, la LOPD se aplica a cualquier actuación con datos de
carácter personal, entendiendo éstos como cualquier dato relativo a una
persona física identificada o identificable e incluye:
a) Recogida de datos
b) Tratamiento
c) Cesión
Desde el punto de vista organizativo, la LODP se aplica tanto a ficheros
automatizados (es decir, en ordenador), como en cualquier tipo de soporte
incluyendo papel (archivo físico de expedientes), vídeos, fotografías, cintas u
otros soportes de audio, etc... Además, el término “fichero” tiene un carácter
atemporal: aunque no conservemos copia de los informes, durante la
realización de la investigación somos titulares responsables de un fichero.
En conclusión y para aclarar algún malentendido que corre por la profesión: no
existen alternativas a la aplicación de la LOPD, exceptuando la jubilación.
3.- ¿Qué obligaciones implica la LOPD?: “Legalizarse”
Básicamente 3:
-
Operativas: modo de captación, tratamiento y cesión de datos
Organizativas: registro de ficheros y modo de custodia de los datos
Informativas: otorgamiento de los derechos de acceso, rectificación y
cancelación de los datos por las personas titulares de los mismos (el
interesado o el afectado).
En este apartado nos limitaremos a la segunda (custodia de los datos), ya que
en la primera y la tercera deberemos distinguir algunas cuestiones en atención
a la LSP y serán tratadas más adelante.
“Legalizarse” en lo referente a protección de datos significa, básicamente:
3
a) Comunicar la existencia del fichero en la AgPD. Esto NO significa
comunicar los datos, sino sólo la existencia del fichero. Para ello, la
AgPD dispone de un formulario en su página web. Este formulario se
rellena en pocos minutos.
b) Disponer del Documento de Seguridad, que regula cómo custodiaremos
esos datos, quien podrá acceder a los mismos, como registraremos las
posibles incidencias, etc... En la página web de la AgPD hay un modelo
de documento de Seguridad, aplicable a los niveles básico y medio.
4.- ¿Qué ficheros tiene un Detective Privado?
Obviamente dependerá de cada uno. No obstante, como líneas básicas:
4.1.- En tanto que empresa:
-
-
Contabilidad (incluye los datos de personas físicas proveedoras y
clientes). Todo empresario está obligado a llevar una contabilidad y, en
nuestro caso, tened presente que los registradores son personas físicas
(como mero ejemplo).
Nóminas (en caso de tener dependientes)
Clientes (activos y potenciales, para prospección comercial)
4.2.- En tanto que detective privado:
-
Libro de registro
Expedientes (entendido como un único fichero y comprendiendo datos
en soporte electrónico, papel, video, audio, fotografía ...)
5.- Nivel de seguridad de los datos
La LOPD define tres niveles de seguridad aplicables a los datos, que deberán
tenerse presentes a la hora de elaborar el Documento de Seguridad.
a) Básico: es el nivel estándar, cuando no exista ningún otro aplicable.
b) Medio: aplicable cuando los datos se refieran a infracciones
administrativas o penales o cuando del conjunto de los mismos se pueda
confeccionar un perfil de la persona. Entendemos que este es el nivel
aplicable, por omisión, al fichero “Expedientes” de los Detectives
Privados.
c) Alto: cuando los datos incluyan cuestiones relativas a ideología,
afiliación sindical, religión, creencias, origen racial, salud, vida sexual o
4
relativos a actos de violencia de género. Esto debe tenerse
especialmente presente por aquello detectives que, prestando servicios
para mutuas o compañías de seguros, reciban de éstas informes
médicos de trabajadores o lesionados.
En función del tipo de datos (de su “nivel de seguridad”), la LOPD exige
mayores medidas de protección y control. Además, los datos correspondientes
al nivel alto de seguridad (habitualmente referidos como datos especialmente
protegidos) tienen unos requisitos especiales para su recogida, tratamiento y
cesión, así como para la mera existencia del fichero.
6.- Obligaciones genéricas en tanto que empresarios: ojo, que nadie se
alarme por este punto.
Al margen de nuestra actividad como DPs, estamos obligados al cumplimiento
de las disposiciones comunes a todo titular de un fichero. Básicamente:
a) Sólo podemos recoger y/o almacenar datos cuando sea necesario para
la actividad que desarrollemos. A modo de ejemplo: es lícito tener un
fichero de clientes, de proveedores, de nóminas... pero no lo sería
tenerlo de miembros de un sindicato (salvo que fuéramos el propio
sindicato), o de personas de raza asiática.
b) La recogida de datos debe realizarse con el consentimiento informado
del titular (del afectado). Esto significa que debemos informar que
estamos recogiendo un dato, lo que haremos con él (lo más común sería
incorporarlo a un fichero), quienes somos nosotros (el titular del fichero)
y dónde y cómo puede ejercer los derechos de acceso, rectificación y
cancelación (en adelante: ARC). La ley “excluye” esta obligación cuando
la recogida del dato sea evidente: p.e. cuando contratamos a un
trabajador, cuando emitimos una factura, cuando recibimos una factura...
c) El tratamiento de los datos debe ser igualmente lícito: necesario o propio
para nuestra actividad. En caso de “prospección comercial” (por ejemplo,
maillings comerciales) debe señalarse el origen del dato y la posibilidad
de ejercer los derechos de ARC. Esto no es más que la habitual coletilla
en todo envío comercial.
d) No se pueden ceder los datos a un tercero sin el consentimiento previo
del interesado, salvo que una ley obligue a ello (por ejemplo Hacienda,
Seguridad Social, etc...)
e) Los datos deben ser destruidos cuando ya no sean de utilidad.
5
f) Debemos dar acceso a los datos cuando el titular del mismo (la persona
a quien se refieren) nos lo solicite, así como rectificar aquellos que se
nos prueben erróneos y borrarlos cuando así se nos solicite (fuera de los
casos, obviamente, en que la conservación del dato venga exigida por la
Ley: Hacienda, Seguridad Social, Contabilidad, documentación legal...)
Estas materias, junto con otras, estarán recogidas en el Documento de
Seguridad.
7.- Especiales consideraciones en cuanto que Detectives Privados.
Lo dicho hasta el momento es de aplicación a todo empresario o profesional y
su cumplimiento no supone ningún problema (aunque sí algunas
“incomodidades” organizativas).
No obstante, el principal conflicto con la actividad del DP aparece en relación a
la recogida, tratamiento y cesión de datos relativos a las investigaciones; y al
reconocimiento de los derechos de ARC.
Del régimen general se desprendería que, previamente a iniciar una
investigación deberíamos solicitar el consentimiento informado del investigado.
Igualmente, del mismo régimen general resultaría que, si un investigado acude
a nuestro despacho, deberíamos comunicarle todos los datos que tenemos
sobre el mismo. Esto es, obviamente, absurdo.
Desde la promulgación de la LOPD, la Asociación ha tenido contactos con la
AgPD, para exponerle la realidad de nuestra profesión y su regulación legal.
Fruto en parte de esta labor, así como del trabajo de documentación legal de la
Inspección de Datos, la AgPD ha dado una respuesta satisfactoria al evidente
conflicto entre la LSP y la LOPD, reiterada en varias resoluciones.
Sintetizando:
a) El art. 19 de la LSP (y 101 RSP: funciones de los Detectives Privados),
con el límite del art. 23.c LSP (prohibición de medios materiales o
técnicos que atenten contra el derecho al honor, a la intimidad personal
o familiar) es una excepción legal al deber de obtener el consentimiento
informado previo a la recogida, tratamiento y cesión de datos
personales. Esto está recogido en las resoluciones E-00128-2004 y E00778-2005 (disponibles en la zona de asociados de la web
www.apdpe.es)
b) En atención a los art. 3.3 LSP y 103 RSP (ambos relativos al carácter
reservado de las investigaciones) el DP no puede otorgar al interesado
los derechos de ARC. No obstante, sí debe recibir la petición y
6
contestarla (en el plazo máximo de 1 mes), indicando que “no procede
acceder a lo solicitado en atención a lo dispuesto en la Ley 23/1992 de
Seguridad Privada y su Reglamento, artículos 3.3 LSP y 103 RSP”. Esto
está recogido en la resolución R-00092-2004 (disponible en la zona de
asociados de la web de la Asociación)
Lo anterior permite cohonestar la aplicación de la LOPD con la LSP y, en
definitiva, permite la realización de las funciones propias de los DPs con las
debidas garantías de reserva de las mismas.
8.- Especial consideración a la subcontratación de colaboradores
(autónomos) y al acceso a datos por cuenta de terceros.
El art. 12 de la LOPD regula el tratamiento de datos ajenos por cuenta del
titular del fichero. El ejemplo más claro son las gestorías que, por cuenta de su
cliente, elaboran las nóminas o llevan la contabilidad. Básicamente dispone que
el “proveedor” no es titular de los datos, que deberá existir un contrato que lo
regule y que deberán establecer el nivel de seguridad adecuado a los datos
tratados.
En nuestro sector hay 2 casos evidentes de aplicación:
a) La contratación de detectives autónomos como colaboradores en
investigaciones. En este caso, el colaborador tiene acceso a los datos
de nuestro “fichero” (los datos del caso).
b) La recepción de datos de clientes para la prestación de servicios,
especialmente cuando esta recepción es de carácter “masivo” o
respecto de datos especialmente protegidos (por ejemplo, informes
médicos en temas de mutuas o compañías de seguros).
En la web de la Asociación, zona de asociados, existen contratos tipo para que
aquellos que contratéis detectives colaboradores podáis suscribir los contratos
oportunos. No obstante, en la línea de lo ya apuntado en el apartado
introductorio de este documento, estos “contratos” son meros modelos y es
responsabilidad de cada Detective verificar la adecuación de los mismos a la
legalidad vigente y a las circunstancias particulares de cada uno.
La existencia de contrato (escrito o fehaciente por otro medio válido) es
obligada (art. 12.2 LOPD)
7
9.- Una cuestión final: ¿Porqué “legalizarse”?
En primer lugar, porque es una obligación y el ejercicio ordenado de cualquier
actividad exige el cumplimiento de las disposiciones legales aplicables.
Además, del grado de cumplimiento de todos nosotros depende la imagen que,
como sector, demos ante la propia AgPD. En estos momentos nuestra imagen
es la de un sector regulado y legal, como evidencian las resoluciones citadas.
Un incumplimiento sistemático y generalizado puede dar al traste con esta
imagen.
Por si lo anterior no fuera suficiente, la creación (la mera existencia) de un
fichero no registrado en la AgPD está sancionado como infracción y penado
con multa de 600 a 60.000 euros. Sólo por el hecho de que nuestro cliente
aporte un informe como prueba en un Juzgado, el investigado dispone de la
prueba necesaria de que el DP autor del informe ha recogido, tratado y cedido
datos personales de los cuales es titular. Si el investigado interpone denuncia,
lo primero que hará la AgPD es verificar si ese DP tiene sus ficheros
registrados. De no ser así, la sanción es automática. Como comprenderéis,
resulta absurdo estar protegidos de la parte más compleja de la regulación
(recogida, tratamiento y cesión) y ser sancionado por no cumplir con un mero
trámite administrativo.
10.- ¿Y ahora qué?
Ahora es el momento de registrar tus ficheros, si todavía no lo has hecho.
Si eres un detective individual y no tratas datos especialmente protegidos (los
correspondientes a nivel alto de seguridad), con la información de este
documento y la existente en la página web de la AgPD puedes cumplimentar
todos los documentos de registro y elaborar el documento de seguridad. Ten
presente que el registro de determinados ficheros (nominas, contabilidad,
clientes...) está predefinido.
Si eres una agencia o tratas datos especialmente protegidos, te recomendamos
que solicites el asesoramiento de una empresa especializada en esta materia.
Actualmente hay empresas que ofrecen unos precios muy razonables y se
encargan por ti de todos los trámites y, lo más importante, el análisis de
legalidad de los datos de que dispones y la confección del documento de
seguridad.
Octubre de 2009
8
Descargar