El concepto de dato personal, según la definición de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, comprende cualquier información concerniente a persona física identificada o identificable, de donde se requiere la concurrencia de un doble elemento: por una parte la existencia de una información o dato y de otra, que dicho dato pueda vincularse a una persona física identificada o identificable.
En el supuesto de direcciones electrónicas la información está constituida por un conjunto de signos que cuando permiten la vinculación directa o indirecta con una persona física la convierte en un dato de carácter personal.
Según la Audiencia Nacional en sentencia de 15 de enero de 2011, una dirección de correo-e siempre permitirá identificar a una persona física.
El tratamiento de datos personales (en este caso, la dirección del e-mail) requiere el consentimiento de los titulares de los datos o bien la existencia de una Ley que lo ampare. En consecuencia, la utilización de e-mail sin consentimiento podría ser vulneración de la normativa sobre protección de datos y se podría denunciar ante la Agencia.
Un Fichero se define como “todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso”.
En consecuencia, la empresa será responsable de tantos ficheros como conjuntos estructurados de datos, adscritos a una determinada finalidad legítima utilice. Cada conjunto estructurado de datos aplicado a una finalidad concreta constituye un fichero, con independencia de los datos de carácter personal que se incluyen.
Partiendo de la definición anterior, la libreta de direcciones de Outlook – usada en su ámbito profesional o comercial - es un fichero que contiene datos de carácter personal, como el e-mail, nombre, apellidos, teléfono, etc.
Debido a lo cual, debe procederse a la inscripción de ficheros en el Registro General de Protección de Datos, así como a la implantación de las medidas de seguridad correspondientes.
Hay que indicar que en el ámbito doméstico la libreta de direcciones del correo no estaría sometida a la LOPD.
Las voces a las que se refiere sólo podrán ser consideradas datos de carácter personal en caso de que las mismas permitan la identificación de las personas que aparecen en dichas voces, no encontrándose amparadas en la Ley Orgánica en caso contrario.
De otro lado, y aun cuando nos hallemos ante un supuesto en que existan datos de carácter personal, será necesario que dichos datos se encuentren incorporados a un fichero.
En consecuencia, y únicamente bajo el aspecto de lo que es protección de datos, la grabación de llamadas estaría fuera del ámbito de aplicación de la LOPD siempre que no pueda procederse a la identificación de las personas que aparecen en las voces o, en caso de poderse identificar dichas voces no hayan sido incorporadas a un fichero, en los términos definidos.
Cuando se recaban voces asociadas a otros datos identificativos, se debe informar en los términos del artículo 6 de la LOPD.
La publicación de las calificaciones de los alumnos en la Intranet de la Universidad, no queda amparado en los supuestos de procesos selectivos, sino ante una forma de comunicación y/o traslado de las notas de calificación correspondientes a cada asignatura, que tienen como destinatario únicamente a los alumnos afectados, anotándose –a su vez- en su expediente académico.
La difusión de dichas notas de calificación a través de la Intranet de la Universidad, constituirá un tratamiento de datos de carácter personal de los alumnos autorizado por una norma con rango de ley formal, en virtud de la Ley Orgánica 4/2007 de Universidades, que en su disposición adicional vigésimo primera, en el punto 3, señala "no será preciso el consentimiento de los estudiantes para la publicación de los resultados de las pruebas relacionadas con la evaluación de sus conocimientos y competencias ni de los actos que resulten necesarios para la adecuada realización y seguimiento de dicha evaluación".
No obstante, las notas deben ser accesibles únicamente por sus titulares, no por otras personas sin autorización. Si terceros no autorizados accedieran a las notas de otra persona, este hecho podría constituir falta leve, tal y como señala el artículo 74 de la Ley Orgánica 3/2018, quedando el responsable de ese fichero sujeto al régimen sancionador previsto en esta Ley.
De acuerdo con la definición de tratamiento de datos descrito en el artículo 4 del RGPD, hacer referencia en una página web a una persona e identificarla por su nombre o por otros medios, como su número de teléfono o información relativa a sus condiciones de trabajo y a sus aficiones, constituye un tratamiento de datos de carácter personal, siendo necesario cumplir las previsiones establecidas en la Ley.
Por ello, se requiere el previo consentimiento de los titulares de los datos para esa publicación, salvo que los datos figuren, a su vez, en fuentes accesibles al público (como los Boletines Oficiales) o se trate de supuestos excepcionales de relevancia pública.
El Consejo General del Poder Judicial aconseja no publicar datos de identificación de personas físicas en las Sentencias que van a ponerse accesibles al público o a las partes.
Lo que acaba de indicarse fue ratificado, en cuanto a la existencia de un tratamiento de datos de carácter personal por la Sentencia del Tribunal de Justicia de las Comunidades Europeas, de 6 de noviembre de 2003 (CASO LINDQVIST).
La diferencia se debe analizar atendiendo a las peculiaridades establecidas para el régimen de los ficheros de titularidad pública, toda vez que los mismos únicamente podrían ser constituidos en caso de que se desarrollen como consecuencia del ejercicio de una competencia administrativa, permitiendose la cesión entre Administraciones Públicas cuando la misma se funde en el ejercicio de unas mismas competencias. En este mismo sentido, se exige que los ficheros se encuentren sometidos a la tutela de una Administración con potestad para dictar la correspondiente Disposición de carácter general de creación del fichero.
Por tanto, considera esta Agencia Española de Protección de Datos que la delimitación del régimen aplicable a los ficheros de titularidad pública y privada (cuestión trascendental para delimitar a su vez la aplicación del artículo 57 de la LOPD) deberá fundarse en un doble criterio: por una parte el responsable del fichero deberá ser una Administración Pública y por otra, en los supuestos que pudieran plantear una mayor complejidad, sería necesario que el fichero sea creado como consecuencia del ejercicio de potestades públicas.
Según dispone el artículo 7 de la LOPD, podrá procederse al tratamiento de los datos de los mayores de 14 años con su consentimiento, salvo para aquellos casos en que la ley exija para su prestación la asistencia de los titulares de la patria potestad o tutela. En el caso de los menores de 14 años se requerirá siempre el consentimiento de los padres o tutores.
En el supuesto de que no se precise el consentimiento de los titulares de la patria potestad o tutela de acuerdo con el artículo 12 de la LOPD, podrá ejercitarse por el menor de entre 14 a 18 años el derecho correspondiente (téngase en cuenta que, en determinados casos, la ley puede exigir la asistencia de dichos titulares de la patria potestad o tutela).
En el caso de los menores de 14 años al requerirse siempre el consentimiento de los padres o tutores para el tratamiento de los datos, los derechos deberán ejercitarse siempre mediante representación de los padres o tutores legales.
El dato de si una persona es fumadora o no, sin estar unido a otros datos que establezcan el hábito de consumo del afectado, no implica por sí mismo una información directamente relacionada con la salud del afectado. Por otra parte, en caso de que se indicase la cantidad consumida, sí nos encontraríamos ante un dato relacionado con la salud de las personas, el cual es protegido por la LOPD (artículo 9 de la Ley 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales).
Ejercer los derechos de cancelación y oposición. No hay que confundirse con la Lista Robinson, ya que esta no elimina los datos sino que se encarga de que no recibas publicidad por correo postal, e-mail, SMS, teléfono y fax.
La LOPD es aplicable tanto a los ficheros automatizados como a los no automatizados.
El más habitual será aquel consistente en prestar servicios de hosting, o de alojamiento de datos en un servidor, pero con la peculiaridad de que aunque el cliente esté en España o en el país en el que se oferte el servicio, resulta finalmente que dichos datos van a un país tercero, en relación al cual no sabe nada dicho cliente.
Ejemplo: contrato en España un servicio de hosting, pero realmente, dichos servidores, están en Estados Unidos, y sin yo saberlo están yendo a EE.UU. mis datos, a otro servidor, sin mediar consentimiento alguno.
De conformidad con lo establecido en la normativa de aplicación sobre protección de datos, los derechos son personalísimos que únicamente pueden ser ejercitados directamente por el propio afectado.
En consecuencia, los datos de las personas fallecidas no entran dentro del amparo de la LOPD.
Asimismo, el artículo 3 de la LOPD, permite también, en algunos casos, que las personas vinculadas familiarmente al fallecido pueden notificar al responsable del fichero el fallecimiento con la finalidad de perseguir la cancelación o rectificación de los datos de aquel del fichero, sin que ello suponga un posterior derecho a ser tutelado por la AEPD.
Actualmente sólo las Comunidades del País Vasco, Andalucía y Cataluña tienen Agencia de Protección de Datos propia en funcionamiento. Todas ellas tienen competencias sobre los ficheros públicos de sus respectivos ámbitos territoriales. Los ficheros privados siguen siendo competencia de la Agencia Española de Protección de Datos.
Asimismo, el artículo 4 de la Ley 30/1992, de Régimen Jurídico y Procedimiento Administrativo Común, dispone que las Administraciones Públicas deben respetar el ejercicio legítimo por las otras Administraciones de su competencia, razón por la cual la Agencia Española no puede entrar a conocer el asunto competencia de otra Agencia Autonómica de Protección de Datos legalmente constituida.
Sí. El vigente artículo 20 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, regula los ficheros de impagados y morosos en este sentido.
Las empresas de recobros ejercen una actividad regulada en la normativa de protección de datos (articulo 20 LOPD). Son empresas que prestan servicios a terceras entidades y en virtud de ese servicio necesitan conocer datos personales de los clientes de la empresa que las ha contratado por tanto, este acceso a los datos no puede considerarse una cesión o comunicación de datos personales así como tampoco necesita del consentimiento de los titulares de los datos para tratarlos ya que, el tratamiento que realiza una empresa de recobro es aquel que deriva del servicio prestado al responsable del fichero o tratamiento.
Sin embargo, para que el tratamiento de datos personales que realiza una empresa de recobro sea considerado legal desde el punto de vista de la Ley Orgánica de Protección de Datos (LOPD), debe haber firmado previamente un contrato de prestación de servicios que le habilita para acceder a los datos personales del responsable y cuyas características están reguladas en el artículo 20.2 de la LOPD.
La empresa de recobro cuando se dirige al supuesto deudor solicitando el abono de la deuda debe informar del nombre de la empresa que es titular de la deuda, por tanto al recibir una notificación de una empresa de recobro, en la misma debe constar la identificación de su acreedor que será el que la ha contratado para que contacte con el presunto deudor, así como el procedimiento establecido para satisfacer la deuda.
Si realmente no existe ninguna deuda con su acreedor, se puede ejercer el derecho de cancelación ante la empresa de recobro aportando documentación suficiente para acreditar la inexistencia de la deuda. El derecho de cancelación es personal y debe ir acompañado de copia del DNI o bien ejercerlo a través de un representante legal debidamente acreditado.
Todos los responsables de ficheros así como todas aquellas personas que intervienen en el tratamiento de datos de carácter personal están obligados al secreto profesional y por tanto, deben guardar secreto de toda aquella información que conocen por su relación con el responsable del fichero incluso después de finalizar su relación con el mismo. Por tanto, ninguna entidad puede divulgar sus datos personales a terceros sin su consentimiento.
Por otra parte, si usted mantiene una deuda con alguna entidad, ésta puede utilizar los datos personales que le facilitó con la firma del contrato que origina la deuda, para contactar con usted y así dar continuidad a la relación negocial establecida entre ambos en virtud del contrato firmado. En este caso, la entidad que le reclama la deuda intenta recuperarla y por tanto, es lícito que contacte con usted en los teléfonos y direcciones que le facilitó.
Respecto de las llamadas telefónicas a familiares, amigos y/o al trabajo, se trata de una práctica bastante denunciada ante la Agencia de Protección de Datos pero de difícil investigación ya que debe acreditarse, el contenido de las llamadas telefónicas, que sería la prueba indiciaria para iniciar actuaciones de investigación. Sin conocer el contenido de la información que se facilita a terceros durante la conversación no se puede dirimir si se produce o no una vulneración del deber de secreto.
El Banco de España gestiona un servicio denominado Central de Información de Riesgos (CIRBE) al que todas las entidades financieras deben remitir los datos personales de las personas que asumen obligaciones dinerarias o actúan como garantes de las mismas. Esta declaración de datos sobre riesgos financieros es una obligación legal para todas las entidades financieras y por tanto, no precisa del consentimiento de los titulares de los datos personales que se van a declarar a la CIRBE.
No obstante, las entidades financieras si deben a informar sobre la mencionada declaración obligatoria a la CIRBE, a las personas que asumen las obligaciones dinerarias y cuyos datos personales se van a declarar así como de la información que establece el artículo 11 de la LOPD.
Por ello la cesión de los datos relativos a dichas operaciones es legal, si bien es posible ejercitar el derecho de cancelación si su deuda se encuentra cancelada mediante escrito dirigido al responsable del fichero de la entidad de que se trate, acompañando copia de su DNI
Si en el plazo de 10 días o no recibe contestación o esta es insatisfactoria, puede reclamar ante la Agencia Española de Protección de Datos, acompañando la documentación acreditativa de haber solicitado la cancelación de datos ante la entidad que se trate.