Fecha: Noviembre de 2008
Autor: Javier Alvarez Hernando (AC-ABOGADOS)
Publicado en: Revista del Iltre. Colegio de Abogados de Valladolid.
Muchos abogados desconocen sus obligaciones en materia de protección de datos. Frente al resto de exigencias anejas a una profesión liberal, como por ejemplo, la llevanza de contabilidad y el cumplimiento de deberes tributarios, de Seguridad Social, etc., existe, respecto a la protección de datos, un incumplimiento destacable por parte de los profesionales del Derecho.
Algo incomprensible si atendemos a que el régimen sancionador previsto contempla multas, que van desde los 600 € hasta los 600.000 € para los supuestos mas graves, si observamos que los inspectores de la Agencia Española de Protección de Datos (en adelante, AEPD) existen y actúan, y si reflexionamos acerca de que los clientes cada vez más son conscientes de sus derechos en éste ámbito ―según una encuesta del CIS, realizada en febrero de 2008, el 52,4 % de los ciudadanos conoce la existencia de una Ley que protege sus datos personales―.
Régimen jurídico básico.
El derecho a la protección de datos de carácter personal es un derecho fundamental derivado del Art. 18 de la C.E., consagrado como derecho autónomo e informador del texto constitucional desde la Sentencia del T.C. 292/2000, de 30 de noviembre. La normativa específica que establece su régimen jurídico la encontramos en la L.O. 15/1999, de 13 de diciembre, de Protección de Datos y en el R.D. 1720/2007, de 21 de diciembre, por el que se aprobó el Reglamento de desarrollo de la citada Ley Orgánica, el cual entró en vigor el pasado 19 de abril.El citado reglamento resuelve numerosas lagunas interpretativas acogiendo criterios jurisprudenciales consolidados y precedentes de la AEPD ―conformados por sus resoluciones, informes jurídicos, recomendaciones e instrucciones―, resultando además, de gran utilidad práctica frente a la numerosa dispersión normativa existente hasta ese momento.
Principales Obligaciones.
1.-Inscripción de ficheros.
Desde un punto de vista general, señalaremos que la primera de las obligaciones que tenemos también los abogados es la inscripción de nuestros ficheros en el Registro General de Protección de Datos. Se trata de un acto formal meramente declarativo mediante el cual indicamos cuales son los tipos o categorías de datos que tratamos en nuestra actividad. Para ello se emplea un modelo (que tiene formato “pdf”) denominado NOTA, que está accesible en el sitio web de la AEPD (www.agpd.es). A modo informativo señalaremos que en octubre de 2008 constaban inscritos 35.565 ficheros relacionados con actividades jurídicas.
2.-Documento de seguridad.
Otra de las exigencias normativas es la necesidad de elaborar el llamado “Documento de Seguridad” y mantenerlo actualizado. Este documento debería recoger, de forma más o menos detallada, todas las medidas técnicas y organizativas necesarias para garantizar la seguridad de nuestros ficheros y evitar así su alteración no consentida, su pérdida y accesos no autorizados. Debemos clasificar, atendiendo al tipo de datos que se traten, uno de los tres niveles existentes: básico, medio o alto. En muchas ocasiones, los abogados tratamos información que alcanza el nivel alto, como datos de salud o afiliación sindical o datos relacionados con la violencia de género, que el nuevo Reglamento lo encuadra, de forma específica, en el nivel alto de seguridad. Por otro lado, debemos señalar que las medidas de nivel medio se deben aplicar a los tratamientos de datos relativos a la comisión de infracciones administrativas o penales. Por otro lado, y para facilitar el cumplimiento del Reglamento, ahora basta con aplicar un nivel básico de seguridad en el tratamiento de datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual, siempre que los datos se usen con la única finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean miembros, o bien, se trate de ficheros en soporte papel en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad. Igualmente es ahora de aplicación el nivel básico en los ficheros que contengan datos de salud, referentes exclusivamente al grado de discapacidad o la mera declaración de la condición de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes públicos. El Reglamento introduce la importante novedad de establecer medidas específicas de seguridad para tratamientos y ficheros no automatizados o en soporte papel, como por ejemplo, la necesidad de disposición de mecanismos que obstaculicen la apertura física de los dispositivos de almacenamiento de datos.
Se establecen distintos plazos para la implantación de las medidas de seguridad, 1 año, 18 meses o 2 años, distinguiendo si se trata de ficheros automatizados o en soporte papel, creados con anterioridad a la citada fecha. Debe prestarse atención al Documento de Seguridad para evitar ser sancionados, como ha ocurrido recientemente (Res. AEPD R/209/2008) en el caso de un abogado que, previa denuncia de un cliente, fue inspeccionado por la AEPD comprobándose la no existencia del Documento de Seguridad imponiéndole finalmente una multa de 601,01 €.
3.-Tratamiento por los abogados de los datos de las partes de un proceso.
La cuestión acerca del tratamiento por parte de profesionales del Derecho de los datos personales de las partes de un proceso, ha sido abordada por la AEPD con ocasión de algunos procedimientos sancionadores contra letrados (entre ellos, R/00726/2004, TD/00360/2004, R/00652/2004, R/00664/2004) promovidos por clientes descontentos o por la contraparte –sobre todo en procesos de familia-. La AEPD entiende que en estos supuestos se produce una colisión entre dos derechos fundamentales: por un lado el derecho a la protección de datos, derecho como decíamos anteriormente autónomo y derivado del Art. 18 de la CE; y por otro, el derecho a la asistencia letrada, como manifestación del derecho de los ciudadanos a obtener una tutela judicial efectiva, consagrado en el Art. 24.2 de la C.E. Partiendo de la consideración de que el derecho a la intimidad no es absoluto, como no lo es ninguno de los derechos fundamentales (STC 186/2000, de 10 de julio), la AEPD ha entendido que debería darse una prevalencia al derecho del Art. 24 de la CE, ya que si los abogados solicitan el consentimiento a los afectados de contrario o les comunican determinada información que se pudiera disponer procedentes de los clientes, podrían perjudicar claramente a su derecho a obtener la tutela judicial efectiva.
En lo que respecta al tratamiento de datos de nuestros propios clientes, debemos concluir que aunque debe entenderse que no es necesario obtener el consentimiento para el tratamiento de sus datos, atendiendo al artículo 6.2 de la LOPD (debido a la existencia de un contrato o precontrato), no se debe pasar por alto el denominado “derecho de información”, recogido en el Art. 5 de la LOPD y que implica que es necesario informar al cliente de una serie de extremos señalados en la Ley, recomendando hacerlo a través de las hojas de encargo, mediante la inclusión de una breve cláusula informativa, que pudiera ser similar a la siguiente: “En virtud de lo establecido en la L.O. 15/1999, de 13 de diciembre, de Protección de Datos y en el Real Decreto 1720/2007, de 21 de diciembre, se le informa que los datos personales a los que este despacho tenga acceso en el marco de la relación abogado-cliente podrán ser objeto de tratamiento para el correcto asesoramiento o la defensa efectiva. Puede ejercer sus derechos de acceso, rectificación, cancelación u oposición en cualquier momento, en la dirección que figura en el encabezamiento.”
4.- Suscripción de contratos de acceso a datos por cuenta de terceros.
El nuevo Reglamento viene a configurar un completo estatuto jurídico para el denominado “encargado del tratamiento”, figura que en ocasiones ostentamos los abogados. La primera cuestión que debe destacarse es que la realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito, en el que se incluya el contenido que contemplan los artículos 12 de la LOPD y 20 y sig. del Reglamento.
El Reglamento amplía el concepto de “encargado del tratamiento” al establecer que es la persona física o jurídica, pública o privada, u órgano administrativo que, solo o conjuntamente con otros, trata datos personales por cuenta del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio. Ejemplos prototípicos de “encargados del tratamiento” son el administrador de fincas, o el asesor laboral que confecciona las nóminas de los trabajadores de la empresa que le contrata. Es, en definitiva, un “outsourcing” o una externalización de servicios en los que es necesario el acceso a datos por parte de un tercero. Tal y como regula la LOPD, el encargado del tratamiento no decide sobre la finalidad, el contenido y el uso de los ficheros, sino que es el responsable el que, a través de la suscripción de un contrato, establece las directrices, instrucciones y finalidades a las que se tiene que atener el encargado. En cambio, si el encargado pretende establecer un nuevo vínculo con el afectado (por ejemplo, entre la asesoría y los trabajadores de una empresa con el objeto de ofrecer el servicio de tramitación fiscal del IRPF), se considerará que existe una cesión o comunicación de datos, siendo necesario, como regla general, el consentimiento previo del afectado para tratar los datos con esa finalidad. Ya la LOPD indicaba que si el encargado del tratamiento destina los datos a otra finalidad, los cede o los utiliza incumpliendo el contrato suscrito respondería de las infracciones en que hubiera incurrido personalmente. El Reglamento matiza que no habría responsabilidad del encargado si, previa indicación expresa del responsable, comunica o cede los datos a un tercero designado por aquél, al que hubiera encomendado la prestación de un servicio.
5.- Dar cumplida respuesta a los ejercicios de los derechos de acceso, rectificación, cancelación u oposición.
La LOPD permite a las personas físicas titulares de los datos que sean objeto de tratamiento el ejercicio de una serie de derechos con relación a sus propios datos. En este sentido, el Tribunal Constitucional ha declarado, de una forma expresa, este poder de disposición y control por parte de los interesados sobre sus datos de carácter personal. Ello se materializa a través de la posibilidad del ejercicio del derecho de acceso para recabar determinada información de un abogado acerca de los datos que sobre su persona están siendo tratados, solicitando la rectificación si resultaran inexactos o incompletos, o la cancelación de los mismos. Además, puede oponerse, en determinados supuestos, a que sus datos sean objeto de un determinado tratamiento. Los plazos de respuesta, por parte del responsable del fichero, son muy breves: a saber, 1 mes para el caso del acceso y 10 días hábiles (cuentan los sábados) para el resto.
El ejercicio de estos derechos es objeto de un análisis pormenorizado en el nuevo Reglamento. No obstante, su régimen ya se fijaba en el derogado “Real Decreto 1332/1994, de 20 de junio”, y por la “Instrucción 1/1998, de 19 de enero, de la Agencia de Protección de Datos”. Destacamos que el Reglamento recalca que el ejercicio de los citados derechos, por parte del interesado, debe ser gratuito y en ningún caso podrá suponer un ingreso adicional para el responsable del tratamiento ante el que se ejercitan. Por ello, no se permite que se establezca como medio para su ejercicio el envío de cartas certificadas, la utilización de servicios telefónicos de tarificación adicional, o cualesquiera otros medios que impliquen un coste excesivo para el interesado. En los casos de ejercicio de derechos, la identidad del interesado se debe considerar acreditada si se adjunta conjuntamente con la solicitud, una fotocopia del DNI o documento equivalente. En cuanto a los sistemas de consulta contemplados para el ejercicio del derecho de acceso, el Reglamento reitera los ya conocidos (visualización en pantalla, escrita o copia, fax…) contemplándose, como novedad, la posibilidad de realizarlo a través de correo electrónico u otros sistemas de comunicaciones electrónicas. En este sentido, se aclara que si el responsable ofrece uno de esos procedimientos para hacer efectivo el derecho de acceso y el afectado exige otro distinto que implique un coste desproporcionado (imaginemos un requerimiento notarial), surtiendo el mismo efecto y garantizando la misma seguridad el procedimiento ofrecido por el responsable, el afectado deberá asumir los gastos derivados de su elección.
Existen, no obstante, excepciones por las que se puede negar el ejercicio, como por ejemplo, si se ha ejercido el derecho de acceso en otra ocasión en el plazo de 12 meses, o se mantenga una relación negocial abierta, o incluso aunque esté ya conclusa los datos deben conservarse bloqueados durante el plazo de prescripción de posibles acciones judiciales, o como ocurre frecuentemente, se debe denegar el ejercicio del derecho de cancelación de los datos de la contraparte, por prevalecer el Derecho a la tutela judicial efectiva, tal y como señalamos anteriormente. En todo caso, es muy importante que el letrado conteste por escrito y de forma fehaciente al ejercicio del derecho realizado por un cliente o por la contraparte, para evitar que el interesado solicite la tutela de la AEPD.
Novedades destacables introducidas por el Reglamento de Protección de Datos.
Ámbito objetivo de aplicación.
Entre las novedades que presenta el ámbito objetivo de aplicación destacamos que no será aplicable el régimen de protección de datos, además de a los tratamientos referidos a personas jurídicas, a determinados datos de contacto profesionales de las personas físicas que presten sus servicios en aquéllas, ―el Reglamento establece cuales son, en un listado numerus clausus― ni a los empresarios individuales cuando se refieran a ellos como empresarios propiamente dichos.Los datos de personas fallecidas igualmente se excluyen del ámbito de aplicación, como ya señaló la AEPD en su Informe 365/2006. No obstante, los familiares o personas vinculadas al fallecido pueden dirigirse a los responsables de los ficheros con el fin de comunicarles el óbito, aportando acreditación suficiente del mismo (certificado de defunción), pudiendo solicitar, en su caso, la cancelación de los datos. Si bien el derecho a la protección de datos desaparecería con la muerte de las personas, no sucede así con el derecho de determinadas personas para ejercitar acciones en nombre de los finados, con el fin de garantizar otros derechos constitucionalmente reconocidos. Así, por ejemplo, cabe destacar la protección dispensada por la L.O. 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen.
Datos de abogados en las guías profesionales.
Las conocidas como “fuentes accesibles al público (FAP)” son objeto de desarrollo en el Reglamento. Su importancia es fundamental en los tratamientos para actividades de publicidad y prospección comercial, al no ser necesario el consentimiento del interesado para esos fines. Entre otras FAP, se encuentran las listas de personas pertenecientes a grupos profesionales (como por ejemplo, abogados) que contengan determinados datos. El Reglamento viene a completar a la LOPD al indicarse que entre estos datos pueden incluirse la dirección postal completa, teléfono, fax y correo electrónico. Y ello con permiso de lo establecido en el art. 38.3 de la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones ―dónde establece el derecho del usuario a no recibir llamadas automáticas sin intervención humana o mensajes de fax, con fines de venta directa sin haber prestado su consentimiento previo e informado para ello― y en la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico, que regula, en su Título III, las comunicaciones comerciales por vía electrónica. Por último, pueden indicarse como datos de pertenencia al Colegio de Abogados, el número de colegiado, la fecha de incorporación y la situación de ejercicio profesional.
Menores de edad.
El consentimiento para el tratamiento de datos de menores de edad es objeto de regulación específica en el art. 13 del Reglamento. Por un lado, los menores de 14 años requieren el consentimiento de los padres o tutores. Por otro, los mayores de 14 años pueden prestar su consentimiento, salvo en aquellos casos en los que la Ley exija para su prestación la asistencia de los titulares de la patria potestad o tutela. En ningún caso, podrá recabarse de los menores datos que permitan obtener información sobre los demás miembros de la familia, salvo la identidad y dirección de los progenitores o tutor con la única finalidad de recabar la necesaria autorización. En todo caso, a los menores se les debe informar de lo anterior mediante un lenguaje fácilmente comprensible para ellos. Corresponde al responsable del fichero articular procedimientos que garanticen que se ha comprobado de modo efectivo la edad del menor y la autenticidad del consentimiento prestado por los progenitores o representantes legales.
Cesión de datos al Colegio de Abogados para justificar la intervención en los turnos de oficio.
Para los supuestos de justificación de la intervención ante el Colegio de Abogados, por parte de los letrados de oficio, con el fin de percibir la remuneración correspondiente, el Gabinete Jurídico de la AEPD se ha pronunciado recientemente, en su Informe 170/2008, concluyendo que para ello deberá presentarse el justificante de intervención procesal debidamente sellado no siendo necesario para el Colegio de Abogados conocer todo el fondo del asunto. Por lo que si es necesario entregar copia de autos, sentencias…, para justificar la intervención, deberá hacerse de tal forma que no se desvele el contenido material del mismo, como por ejemplo, entregando únicamente la primera hoja y tachando los datos que revelen información acerca del fondo. Ya que en caso contrario, el abogado incurriría en una infracción muy grave al comunicar o ceder datos a un tercero sin contar con el consentimiento del afectado, fuera de los casos contemplados en el Art. 11.2.c. de la LOPD.
Autor: Javier Alvarez Hernando (AC-ABOGADOS)
Publicado en: Revista del Iltre. Colegio de Abogados de Valladolid.
Muchos abogados desconocen sus obligaciones en materia de protección de datos. Frente al resto de exigencias anejas a una profesión liberal, como por ejemplo, la llevanza de contabilidad y el cumplimiento de deberes tributarios, de Seguridad Social, etc., existe, respecto a la protección de datos, un incumplimiento destacable por parte de los profesionales del Derecho.
Algo incomprensible si atendemos a que el régimen sancionador previsto contempla multas, que van desde los 600 € hasta los 600.000 € para los supuestos mas graves, si observamos que los inspectores de la Agencia Española de Protección de Datos (en adelante, AEPD) existen y actúan, y si reflexionamos acerca de que los clientes cada vez más son conscientes de sus derechos en éste ámbito ―según una encuesta del CIS, realizada en febrero de 2008, el 52,4 % de los ciudadanos conoce la existencia de una Ley que protege sus datos personales―.
Régimen jurídico básico.
El derecho a la protección de datos de carácter personal es un derecho fundamental derivado del Art. 18 de la C.E., consagrado como derecho autónomo e informador del texto constitucional desde la Sentencia del T.C. 292/2000, de 30 de noviembre. La normativa específica que establece su régimen jurídico la encontramos en la L.O. 15/1999, de 13 de diciembre, de Protección de Datos y en el R.D. 1720/2007, de 21 de diciembre, por el que se aprobó el Reglamento de desarrollo de la citada Ley Orgánica, el cual entró en vigor el pasado 19 de abril.El citado reglamento resuelve numerosas lagunas interpretativas acogiendo criterios jurisprudenciales consolidados y precedentes de la AEPD ―conformados por sus resoluciones, informes jurídicos, recomendaciones e instrucciones―, resultando además, de gran utilidad práctica frente a la numerosa dispersión normativa existente hasta ese momento.
Principales Obligaciones.
1.-Inscripción de ficheros.
Desde un punto de vista general, señalaremos que la primera de las obligaciones que tenemos también los abogados es la inscripción de nuestros ficheros en el Registro General de Protección de Datos. Se trata de un acto formal meramente declarativo mediante el cual indicamos cuales son los tipos o categorías de datos que tratamos en nuestra actividad. Para ello se emplea un modelo (que tiene formato “pdf”) denominado NOTA, que está accesible en el sitio web de la AEPD (www.agpd.es). A modo informativo señalaremos que en octubre de 2008 constaban inscritos 35.565 ficheros relacionados con actividades jurídicas.
2.-Documento de seguridad.
Otra de las exigencias normativas es la necesidad de elaborar el llamado “Documento de Seguridad” y mantenerlo actualizado. Este documento debería recoger, de forma más o menos detallada, todas las medidas técnicas y organizativas necesarias para garantizar la seguridad de nuestros ficheros y evitar así su alteración no consentida, su pérdida y accesos no autorizados. Debemos clasificar, atendiendo al tipo de datos que se traten, uno de los tres niveles existentes: básico, medio o alto. En muchas ocasiones, los abogados tratamos información que alcanza el nivel alto, como datos de salud o afiliación sindical o datos relacionados con la violencia de género, que el nuevo Reglamento lo encuadra, de forma específica, en el nivel alto de seguridad. Por otro lado, debemos señalar que las medidas de nivel medio se deben aplicar a los tratamientos de datos relativos a la comisión de infracciones administrativas o penales. Por otro lado, y para facilitar el cumplimiento del Reglamento, ahora basta con aplicar un nivel básico de seguridad en el tratamiento de datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual, siempre que los datos se usen con la única finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean miembros, o bien, se trate de ficheros en soporte papel en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad. Igualmente es ahora de aplicación el nivel básico en los ficheros que contengan datos de salud, referentes exclusivamente al grado de discapacidad o la mera declaración de la condición de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes públicos. El Reglamento introduce la importante novedad de establecer medidas específicas de seguridad para tratamientos y ficheros no automatizados o en soporte papel, como por ejemplo, la necesidad de disposición de mecanismos que obstaculicen la apertura física de los dispositivos de almacenamiento de datos.
Se establecen distintos plazos para la implantación de las medidas de seguridad, 1 año, 18 meses o 2 años, distinguiendo si se trata de ficheros automatizados o en soporte papel, creados con anterioridad a la citada fecha. Debe prestarse atención al Documento de Seguridad para evitar ser sancionados, como ha ocurrido recientemente (Res. AEPD R/209/2008) en el caso de un abogado que, previa denuncia de un cliente, fue inspeccionado por la AEPD comprobándose la no existencia del Documento de Seguridad imponiéndole finalmente una multa de 601,01 €.
3.-Tratamiento por los abogados de los datos de las partes de un proceso.
La cuestión acerca del tratamiento por parte de profesionales del Derecho de los datos personales de las partes de un proceso, ha sido abordada por la AEPD con ocasión de algunos procedimientos sancionadores contra letrados (entre ellos, R/00726/2004, TD/00360/2004, R/00652/2004, R/00664/2004) promovidos por clientes descontentos o por la contraparte –sobre todo en procesos de familia-. La AEPD entiende que en estos supuestos se produce una colisión entre dos derechos fundamentales: por un lado el derecho a la protección de datos, derecho como decíamos anteriormente autónomo y derivado del Art. 18 de la CE; y por otro, el derecho a la asistencia letrada, como manifestación del derecho de los ciudadanos a obtener una tutela judicial efectiva, consagrado en el Art. 24.2 de la C.E. Partiendo de la consideración de que el derecho a la intimidad no es absoluto, como no lo es ninguno de los derechos fundamentales (STC 186/2000, de 10 de julio), la AEPD ha entendido que debería darse una prevalencia al derecho del Art. 24 de la CE, ya que si los abogados solicitan el consentimiento a los afectados de contrario o les comunican determinada información que se pudiera disponer procedentes de los clientes, podrían perjudicar claramente a su derecho a obtener la tutela judicial efectiva.
En lo que respecta al tratamiento de datos de nuestros propios clientes, debemos concluir que aunque debe entenderse que no es necesario obtener el consentimiento para el tratamiento de sus datos, atendiendo al artículo 6.2 de la LOPD (debido a la existencia de un contrato o precontrato), no se debe pasar por alto el denominado “derecho de información”, recogido en el Art. 5 de la LOPD y que implica que es necesario informar al cliente de una serie de extremos señalados en la Ley, recomendando hacerlo a través de las hojas de encargo, mediante la inclusión de una breve cláusula informativa, que pudiera ser similar a la siguiente: “En virtud de lo establecido en la L.O. 15/1999, de 13 de diciembre, de Protección de Datos y en el Real Decreto 1720/2007, de 21 de diciembre, se le informa que los datos personales a los que este despacho tenga acceso en el marco de la relación abogado-cliente podrán ser objeto de tratamiento para el correcto asesoramiento o la defensa efectiva. Puede ejercer sus derechos de acceso, rectificación, cancelación u oposición en cualquier momento, en la dirección que figura en el encabezamiento.”
4.- Suscripción de contratos de acceso a datos por cuenta de terceros.
El nuevo Reglamento viene a configurar un completo estatuto jurídico para el denominado “encargado del tratamiento”, figura que en ocasiones ostentamos los abogados. La primera cuestión que debe destacarse es que la realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito, en el que se incluya el contenido que contemplan los artículos 12 de la LOPD y 20 y sig. del Reglamento.
El Reglamento amplía el concepto de “encargado del tratamiento” al establecer que es la persona física o jurídica, pública o privada, u órgano administrativo que, solo o conjuntamente con otros, trata datos personales por cuenta del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio. Ejemplos prototípicos de “encargados del tratamiento” son el administrador de fincas, o el asesor laboral que confecciona las nóminas de los trabajadores de la empresa que le contrata. Es, en definitiva, un “outsourcing” o una externalización de servicios en los que es necesario el acceso a datos por parte de un tercero. Tal y como regula la LOPD, el encargado del tratamiento no decide sobre la finalidad, el contenido y el uso de los ficheros, sino que es el responsable el que, a través de la suscripción de un contrato, establece las directrices, instrucciones y finalidades a las que se tiene que atener el encargado. En cambio, si el encargado pretende establecer un nuevo vínculo con el afectado (por ejemplo, entre la asesoría y los trabajadores de una empresa con el objeto de ofrecer el servicio de tramitación fiscal del IRPF), se considerará que existe una cesión o comunicación de datos, siendo necesario, como regla general, el consentimiento previo del afectado para tratar los datos con esa finalidad. Ya la LOPD indicaba que si el encargado del tratamiento destina los datos a otra finalidad, los cede o los utiliza incumpliendo el contrato suscrito respondería de las infracciones en que hubiera incurrido personalmente. El Reglamento matiza que no habría responsabilidad del encargado si, previa indicación expresa del responsable, comunica o cede los datos a un tercero designado por aquél, al que hubiera encomendado la prestación de un servicio.
5.- Dar cumplida respuesta a los ejercicios de los derechos de acceso, rectificación, cancelación u oposición.
La LOPD permite a las personas físicas titulares de los datos que sean objeto de tratamiento el ejercicio de una serie de derechos con relación a sus propios datos. En este sentido, el Tribunal Constitucional ha declarado, de una forma expresa, este poder de disposición y control por parte de los interesados sobre sus datos de carácter personal. Ello se materializa a través de la posibilidad del ejercicio del derecho de acceso para recabar determinada información de un abogado acerca de los datos que sobre su persona están siendo tratados, solicitando la rectificación si resultaran inexactos o incompletos, o la cancelación de los mismos. Además, puede oponerse, en determinados supuestos, a que sus datos sean objeto de un determinado tratamiento. Los plazos de respuesta, por parte del responsable del fichero, son muy breves: a saber, 1 mes para el caso del acceso y 10 días hábiles (cuentan los sábados) para el resto.
El ejercicio de estos derechos es objeto de un análisis pormenorizado en el nuevo Reglamento. No obstante, su régimen ya se fijaba en el derogado “Real Decreto 1332/1994, de 20 de junio”, y por la “Instrucción 1/1998, de 19 de enero, de la Agencia de Protección de Datos”. Destacamos que el Reglamento recalca que el ejercicio de los citados derechos, por parte del interesado, debe ser gratuito y en ningún caso podrá suponer un ingreso adicional para el responsable del tratamiento ante el que se ejercitan. Por ello, no se permite que se establezca como medio para su ejercicio el envío de cartas certificadas, la utilización de servicios telefónicos de tarificación adicional, o cualesquiera otros medios que impliquen un coste excesivo para el interesado. En los casos de ejercicio de derechos, la identidad del interesado se debe considerar acreditada si se adjunta conjuntamente con la solicitud, una fotocopia del DNI o documento equivalente. En cuanto a los sistemas de consulta contemplados para el ejercicio del derecho de acceso, el Reglamento reitera los ya conocidos (visualización en pantalla, escrita o copia, fax…) contemplándose, como novedad, la posibilidad de realizarlo a través de correo electrónico u otros sistemas de comunicaciones electrónicas. En este sentido, se aclara que si el responsable ofrece uno de esos procedimientos para hacer efectivo el derecho de acceso y el afectado exige otro distinto que implique un coste desproporcionado (imaginemos un requerimiento notarial), surtiendo el mismo efecto y garantizando la misma seguridad el procedimiento ofrecido por el responsable, el afectado deberá asumir los gastos derivados de su elección.
Existen, no obstante, excepciones por las que se puede negar el ejercicio, como por ejemplo, si se ha ejercido el derecho de acceso en otra ocasión en el plazo de 12 meses, o se mantenga una relación negocial abierta, o incluso aunque esté ya conclusa los datos deben conservarse bloqueados durante el plazo de prescripción de posibles acciones judiciales, o como ocurre frecuentemente, se debe denegar el ejercicio del derecho de cancelación de los datos de la contraparte, por prevalecer el Derecho a la tutela judicial efectiva, tal y como señalamos anteriormente. En todo caso, es muy importante que el letrado conteste por escrito y de forma fehaciente al ejercicio del derecho realizado por un cliente o por la contraparte, para evitar que el interesado solicite la tutela de la AEPD.
Novedades destacables introducidas por el Reglamento de Protección de Datos.
Ámbito objetivo de aplicación.
Entre las novedades que presenta el ámbito objetivo de aplicación destacamos que no será aplicable el régimen de protección de datos, además de a los tratamientos referidos a personas jurídicas, a determinados datos de contacto profesionales de las personas físicas que presten sus servicios en aquéllas, ―el Reglamento establece cuales son, en un listado numerus clausus― ni a los empresarios individuales cuando se refieran a ellos como empresarios propiamente dichos.Los datos de personas fallecidas igualmente se excluyen del ámbito de aplicación, como ya señaló la AEPD en su Informe 365/2006. No obstante, los familiares o personas vinculadas al fallecido pueden dirigirse a los responsables de los ficheros con el fin de comunicarles el óbito, aportando acreditación suficiente del mismo (certificado de defunción), pudiendo solicitar, en su caso, la cancelación de los datos. Si bien el derecho a la protección de datos desaparecería con la muerte de las personas, no sucede así con el derecho de determinadas personas para ejercitar acciones en nombre de los finados, con el fin de garantizar otros derechos constitucionalmente reconocidos. Así, por ejemplo, cabe destacar la protección dispensada por la L.O. 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen.
Datos de abogados en las guías profesionales.
Las conocidas como “fuentes accesibles al público (FAP)” son objeto de desarrollo en el Reglamento. Su importancia es fundamental en los tratamientos para actividades de publicidad y prospección comercial, al no ser necesario el consentimiento del interesado para esos fines. Entre otras FAP, se encuentran las listas de personas pertenecientes a grupos profesionales (como por ejemplo, abogados) que contengan determinados datos. El Reglamento viene a completar a la LOPD al indicarse que entre estos datos pueden incluirse la dirección postal completa, teléfono, fax y correo electrónico. Y ello con permiso de lo establecido en el art. 38.3 de la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones ―dónde establece el derecho del usuario a no recibir llamadas automáticas sin intervención humana o mensajes de fax, con fines de venta directa sin haber prestado su consentimiento previo e informado para ello― y en la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico, que regula, en su Título III, las comunicaciones comerciales por vía electrónica. Por último, pueden indicarse como datos de pertenencia al Colegio de Abogados, el número de colegiado, la fecha de incorporación y la situación de ejercicio profesional.
Menores de edad.
El consentimiento para el tratamiento de datos de menores de edad es objeto de regulación específica en el art. 13 del Reglamento. Por un lado, los menores de 14 años requieren el consentimiento de los padres o tutores. Por otro, los mayores de 14 años pueden prestar su consentimiento, salvo en aquellos casos en los que la Ley exija para su prestación la asistencia de los titulares de la patria potestad o tutela. En ningún caso, podrá recabarse de los menores datos que permitan obtener información sobre los demás miembros de la familia, salvo la identidad y dirección de los progenitores o tutor con la única finalidad de recabar la necesaria autorización. En todo caso, a los menores se les debe informar de lo anterior mediante un lenguaje fácilmente comprensible para ellos. Corresponde al responsable del fichero articular procedimientos que garanticen que se ha comprobado de modo efectivo la edad del menor y la autenticidad del consentimiento prestado por los progenitores o representantes legales.
Cesión de datos al Colegio de Abogados para justificar la intervención en los turnos de oficio.
Para los supuestos de justificación de la intervención ante el Colegio de Abogados, por parte de los letrados de oficio, con el fin de percibir la remuneración correspondiente, el Gabinete Jurídico de la AEPD se ha pronunciado recientemente, en su Informe 170/2008, concluyendo que para ello deberá presentarse el justificante de intervención procesal debidamente sellado no siendo necesario para el Colegio de Abogados conocer todo el fondo del asunto. Por lo que si es necesario entregar copia de autos, sentencias…, para justificar la intervención, deberá hacerse de tal forma que no se desvele el contenido material del mismo, como por ejemplo, entregando únicamente la primera hoja y tachando los datos que revelen información acerca del fondo. Ya que en caso contrario, el abogado incurriría en una infracción muy grave al comunicar o ceder datos a un tercero sin contar con el consentimiento del afectado, fuera de los casos contemplados en el Art. 11.2.c. de la LOPD.
