Blog de De-fensa

El Blog de De-fensa, recoge los enlaces de las publicaciones que se hacen en los restantes Blog especializados en prevención, de la Asociación Nacional de Establecimientos Financieros de Crédito (ASNEF). Se constituye, por tanto, como un Índice general de lo que se publica en nuestra Web sobre prevención del fraude, prevención AML y prevención de la falsificación documental.

c/ Velázquez, 64-66, 2ª Planta.
28001 Madrid
e-mail: asnef@asnef.com
Tel: 917814400
Fax: 914314646

miércoles, 7 de julio de 2010

GENERALIDADES BÁSICAS SOBRE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL




Constituye un derecho fundamental de los Ciudadanos el control de sus propios datos de carácter personal, por lo que se exige su consentimiento para cualquier uso que terceras personas quisieran hacer de los mismos, con excepción de algunos supuestos perfectamente tasados y regulados por las Leyes.

Reconocido este principio básico, hemos de aceptar también que una gran parte de las actividades sociales y económicas descansan sobre los datos personales del conjunto de los Ciudadanos que deciden participar en las mismas.

El concepto de dato personal es muy amplio y abarca entre otros, el nombre, los apellidos, la filiación, la fecha de nacimiento, el domicilio y cualquier otro dato que permita la identificación de forma directa o indirecta, tal como sucede con el número de identidad, número de identificación fiscal, número de identificación de la Seguridad Social, matrículas de vehículos, teléfonos, direcciones de correo electrónico, personalizadas o no, direcciones IP, claves de acceso, etc.

El anterior listado no es exhaustivo, por lo que también tienen la consideración de datos personales otros que no se expresan mediante caracteres alfanuméricos, como por ejemplo las fotografías, el ADN, las huellas digitales, la voz, el iris, etc.

Si gran parte de la actividad social y económica descansa sobre los datos personales de sus intervinientes, y el control sobre los datos personales constituye un derecho fundamental de sus Titulares, la posesión por terceros de esta información debe estar regulada para que puedan garantizarse los derechos de sus propietarios, especialmente frente a las nuevas tecnologías de la información y la comunicación que, como sabemos, permiten el archivo, la ordenación y el intercambio de millones de datos de una forma fácil y ágil.

La garantía de los derechos de los Titulares de los Datos de Carácter Personal descansa en las Leyes establecidas al efecto por cada País y en la Normativa Internacional. Concretamente en España existe legislación sobre protección de datos en el ámbito central y autonómico, tanto de forma directa como referenciada en otras Leyes.




En España, la Autoridad independiente que se encarga en el ámbito estatal de garantizar el cumplimiento de la legislación sobre protección de datos es la:




Una vez concienciados de la existencia de este derecho y conocido el Sistema de control existente, tenemos que aprender a operar con naturalidad y tranquilidad con los datos de carácter personal que necesitemos para nuestro trabajo, sin ninguna clase de complejos, cumpliendo en todo momento con los requerimientos normativos. Y este objetivo lo podremos conseguir formándonos en esta materia, puesto que en la formación descansa la seguridad de su uso.

Los Ciudadanos que quieran participar en la actividad económica y financiera, deberán facilitar a las empresas, de forma voluntaria, aquellos datos personales que éstas consideren necesarios para el funcionamiento de su actividad.

Igualmente, si las entidades lo consideran necesario, los Ciudadanos también deberán firmar, en el momento de la solicitud de las operaciones, una CLÁUSULA DE CONSENTIMIENTO, en la que autoricen a las empresas a realizar todas aquellas gestiones que consideren necesarias para la comprobación de su identidad y para el análisis de los riesgos derivados de las operaciones que quieran contratar, especificando en dicha cláusula los ficheros externos a los que se va a acceder, el tratamiento que se va a hacer con los datos de carácter personal que se recaban, y las cesiones que se harán de los mismos en el caso de que se comprueben incongruentes o inveraces. Igualmente en el momento de la solicitud podrá recabarse la autorización para el tratamiento de los datos a través de plataformas de información positiva, puesto que en estas herramientas va a radicar en el próximo futuro una gran parte del análisis de riesgos.

La obtención de la CLAUSULA DE CONSENTIMIENTO es una decisión estratégica que debería ser asumida de inmediato por la totalidad del sector financiero (muchas entidades la han asumido ya), para trabajar de una forma eficiente en el conocimiento de los clientes y en el análisis de los riesgos, actividades éstas para las que resulta necesario apoyarse también en la colaboración y en la inteligencia compartida.

Obtenido el CONSENTIMIENTO en los términos señalados, sólo quedaría trabajar con los datos con naturalidad, tal como he indicado en párrafos anteriores, respetando los límites establecidos por el Titular de los mismos y que estarán expresados en la autorización recibida de éste.

Obtenidos los datos de carácter personal y el consentimiento necesario para su uso, sólo queda a las entidades responsabilizarse de su gestión y control mediante procedimientos eficientes.

Para una gestión eficiente de toda esta información de carácter personal, resulta necesario un tratamiento informatizado o manual, lo que obliga a las entidades a cumplir con una serie de obligaciones que están recogidas en la legislación sobre protección de datos de carácter personal.


Estas obligaciones las voy a esquematizar en la siguiente relación:


  • OBLIGACIÓN DE NOTIFICACIÓN (que es la comunicación que tiene que efectuar la empresa al Registro General de Protección de Datos, sobre la creación, modificación o supresión de cualquier fichero de datos, o del tratamiento no informatizado que vaya a realizar con los mismos.)
  • OBLIGACIÓN DE INFORMACIÓN (a los Titulares de los datos, en el momento de la recogida, sobre lo que pretende hacer la empresa con los mismos, con el fin de que los Ciudadanos puedan prestar libremente su consentimiento.)
  • OBLIGACIÓN DE AUTOLIMITACIÓN EN LA RECOGIDA DE LOS DATOS (sólo se deben recoger aquellos datos que sean adecuados, pertinentes y no excesivos en relación con la finalidad para los que son precisos. Las entidades, por tanto, deberán poder justificar ante la AEPD este extremo, por lo que no resulta oportuno obtener datos sin este criterio de racionalidad.)
  • OBLIGACIÓN DE GARANTIZAR LA SEGURIDAD DE LOS DATOS (para impedir cualquier alteración, pérdida, tratamiento o acceso no autorizado.)
  • OBLIGACIÓN DE CONSERVAR LOS DATOS SÓLO POR EL TIEMPO NECESARIO (las entidades deberán cancelar los datos cuando hayan cumplido con la finalidad para la que fueron recogidos.)
  • OBLIGACIÓN DE FACILITAR EL EJERCICIO DE SUS DERECHOS A LOS TITULARES DE LOS MISMOS (derecho de acceso, derecho de rectificación, derecho de cancelación y derecho de oposición que analizaremos posteriormente con más detalle.)
  • OBLIGACIÓN DE LA EXACTITUD EN LOS DATOS (el Responsable de su gestión y control debe mantenerlos actualizados con el fin de que respondan a la situación real de su Titular. Este incumplimiento es una de las causas que originan las sanciones más graves impuestas por la Agencia.)
  • OBLIGACIÓN DE RESPETAR LAS EXIGENCIAS LEGALES EN LOS DENOMINADOS DATOS SENSIBLES (determinados datos sensibles no pueden ser tratados ni almacenados en Ficheros. Existen excepciones a esta negativa que están muy tasadas por la norma y que requieren consentimiento expreso y por escrito del Titular de los datos. Se consideran datos sensibles los referidos a la salud, la vida sexual, el origen racial, la ideología, las creencias, la religión y la afiliación sindical.)
  • OBLIGACIÓN DE TRATAR LOS DATOS DE UNA MANERA LEAL Y LÍCITA (principio que no necesita comentarios.)
La Ley considera Responsable de un Fichero o Tratamiento al que decide sobre la finalidad, contenido y uso del Fichero o Tratamiento de datos personales. Puede ser por tanto, una persona física, una persona jurídica o un órgano administrativo. En nuestro caso, cada una de nuestras entidades será la Responsable de los ficheros creados para su uso interno.

Para los ficheros de información comunes, serán Responsables las Instituciones o empresas que los pongan en funcionamiento.


Ficheros sin consentimiento:

Nuestras entidades podrán crear ficheros o efectuar tratamientos de datos que figuren en fuentes públicas legales, siempre que su almacenamiento o tratamiento sean necesarios para sus intereses legítimos.

Este tipo de ficheros también pueden crearse por Terceros, como un servicio comercializable para clientes con interés legítimo en esta información.

Para este tipo de Ficheros también se exige la obligación de notificación a la AEPD, aunque no requieran el consentimiento de los titulares de los datos.


A modo de resumen voy a enumerar los casos en los que se pueden archivar y tratar datos:

  1. Cuando se tenga el consentimiento del Titular.
  2. Cuando una Ley habilite para hacer este tratamiento sin consentimiento.
  3. Cuando una administración pública los necesite para cumplir con las obligaciones de su competencia.
  4. Cuando sean necesarios para el mantenimiento o cumplimiento de una relación social, laboral, administrativa o de negocio.
  5. Cuando sean necesarios para proteger el interés vital del Titular o de un Tercero y haya una incapacidad para la obtención del consentimiento.
  6. Cuando procedan de fuentes accesibles al público y resulten necesarios para una finalidad lícita.

Los derechos de los Titulares

Anteriormente he enumerado las obligaciones que asume el Responsable de cualquier Fichero.

Seguidamente haré un glosario-recordatorio con la totalidad de los derechos que tienen los Titulares de los datos, que casan perfectamente con las obligaciones de los Responsables de los Ficheros y de los Cesionarios de los datos:

  • Derecho de Información: ya explicado al hablar de la Obligación. (Art. 5 de la LOPD)
  • Derecho de Consulta a la Agencia para conocer la existencia de los Ficheros y Tratamientos de Datos y para identificar a sus Responsables. Este derecho es la consecuencia de la obligación de notificación. El conocimiento de la existencia de los ficheros no sólo resulta necesario para el control de la AEPD, sino para facilitar el ejercicio de este derecho a los Titulares. (Art. 14 de la LOPD)
  • Derecho de Acceso de los Titulares al Responsable del Fichero para conocer si sus datos de carácter personal están en su Fichero, la naturaleza, origen, destinatarios y si se han producido transferencias internacionales de los mismos. Existen Ficheros que por disposición legal están excluidos de este derecho, como por ejemplo los ficheros que se creen para la prevención del blanqueo de capitales y de la financiación del terrorismo. (Art. 15 de la LOPD)
  • Derecho de Rectificación, cuando el Titular, una vez ejercido el derecho de acceso, estima que cualquier dato incluido en el Fichero es erróneo. (Art. 16 de la LOPD)
  • Derecho de Cancelación, en caso de que el Titular, una vez ejercido el derecho de acceso, estime alguna inexactitud o tratamiento ilegal. (Art. 16 de la LOPD)
  • Derecho de Oposición, o negativa a figurar en un fichero por motivo legítimo y fundado, o al tratamiento de sus datos personales. ( Art. 6.4, 17 y 30.4 de la LOPD)
  • Derecho a la Tutela por parte de la AEPD, para garantizar el ejercicio efectivo de los derechos anteriormente referenciados a los Titular de los datos. (Art. 18 de la LOPD)

Obligaciones de los Responsables de los Ficheros o Tratamientos, en relación con estos derechos

Respecto al Derecho de Información

Las entidades están obligadas a cumplir con este derecho en el momento de la recogida de los datos, informando a los Titulares, por cualquier medio que consideren adecuado, sobre los siguientes extremos:
  • La identificación del Fichero en el que serán depositados estos datos.
  • La identificación del Responsable de mismo.
  • La finalidad del Fichero.
  • Destinatarios de la información.
  • Si se va a dar algún tratamiento a los datos
  • El ofrecimiento del ejercicio de los derechos de acceso, rectificación, cancelación y oposición.
Si en la recogida de los datos se informase al Titular de que éstos podrán ser cedidos fuera de la entidad por algún motivo tasado, cuando se produzca la primera cesión de los mismos se le deberá informar de este hecho por quien corresponda (cedente o cesionario) y de la identidad del cesionario.

Respecto al Derecho de Consulta

Sólo indicar respecto a este Derecho, que está íntimamente relacionado con la Obligación de Notificación a la AEPD. La Notificación la hará el Responsable del Fichero en la forma establecida por la Agencia. No es objeto de este trabajo la forma en que los ciudadanos pueden ejercitar este Derecho.

Respecto al Derecho de Acceso

Cada entidad deberá tener montada la infraestructura necesaria para cumplir con el ejercicio de este Derecho, y utilizará para ello los medios que considere adecuados: escrito, copia, fotocopia, fax, consulta en pantalla, etc.

Sólo hay una exigencia: que el sistema de consulta que se establezca sea gratuito e inteligible para el Ciudadano.

La contestación del Responsable del Fichero al ejercicio de este derecho es obligatoria, y si no es inmediata por la utilización de procedimientos informáticos que así lo permitan, el plazo para la contestación será como máximo de un mes desde la fecha de recepción de la solicitud.

La contestación ha de hacerse, aún en el caso de que no existan datos en el Fichero. (Es importante cumplir con este extremo.)

Si la entidad no se quiere tener problemas con la Agencia, ha de poder acreditar de alguna forma que ha efectuado la contestación.

Este derecho puede ser ejercido cada doce meses. Si el solicitante acredita un interés legítimo, podrá ejercitarlo en un plazo inferior.

Este derecho puede ser ejercitado directamente por el Titular de los datos o por un Representante del mismo.

El ejercicio de este derecho por parte del Ciudadano o su Representante, está sometido a los siguientes requisitos formales:

  • Escrito o comunicación realizada a través de los medios electrónicos habilitados específicamente para esta finalidad por la entidad, que deberá estar firmado manual o electrónicamente, dependiendo del sistema habilitado por la empresa, o refrendado con las claves de acceso suministradas por la entidad para el ejercicio del derecho.
  • En el escrito o comunicación deberá quedar reflejada la fecha y el domicilio del Titular a efectos de la contestación que debe hacer el Responsable del Fichero.
  • Se deberá aportar fotocopia del DNI, Tarjeta de Extranjero o cualquier otro documento que acredite la identidad y sea admitido en derecho.
  • Si el ejercicio del derecho lo realiza un Representante del Titular, éste tendrá que añadir a los requisitos anteriores, la identificación del Representante, así como el documento que acredite la representación.
Respecto al Derecho de Rectificación

Con el mismo procedimiento habilitado por la entidad para el ejercicio del Derecho de acceso, el Titular de los datos o su Representante podrá ejercer el Derecho de Rectificación ante el Responsable del Fichero, para lo que deberá comunicarle el dato erróneo, así como la corrección que deba realizarse, acompañando la justificación de la rectificación solicitada.

El Responsable del Fichero tiene de plazo diez días naturales para atender la rectificación y además:

  • Contestará en este plazo, de forma motivada, a la solicitud de rectificación, aún cuando los datos a rectificar no figuren en el Fichero.
  • Deberá poder justificar también ante la Agencia que ha atendido el ejercicio de este Derecho.
  • En el caso de que los datos objeto de rectificación hubiesen sido cedidos a un Tercero, deberá notificar al cesionario la rectificación practicada.
Respecto al Derecho de Cancelación

Este Derecho se podrá ejercitar por el Titular de los datos, si considerara que los mismos han sido tratados ilegalmente o son inexactos o incompletos.

En la solicitud de cancelación, el Titular de los datos o su Representante, deberán exponer las razones para la cancelación y, en el caso en sean por datos erróneos o inexactos, deberán aportar la documentación justificativa de tal aseveración.

El Responsable del Fichero tiene de plazo diez días para atender el derecho de cancelación, que irá acompañado de las siguientes medidas:

  • Contestará de forma motivada a la solicitud de cancelación en el plazo indicado, aún cuando los datos a cancelar no figuren en el Fichero.
  • Si existen razones, bloqueará los datos impidiendo su utilización.
  • A partir de ese momento seguirá conservando los datos por las responsabilidades que pudieran derivarse. Éstos sólo estarán disponibles para las Administraciones públicas, Jueces, Tribunales.
  • Este bloqueo y conservación durará hasta que termine el plazo sobre posibles responsabilidades.
  • Cumplido este plazo, se procederá a la supresión total de los datos.
  • Si los datos bloqueados o cancelados hubieran sido cedidos previamente a un tercero, se deberá notificar al cesionario del bloqueo y de la cancelación.
Excepciones al Derecho de Cancelación en los Ficheros privados:

  • Cuando exista el deber de conservación de los datos, éstos no podrán ser cancelados durante el plazo establecido en cada caso por la legislación aplicable.
  • Tampoco serán cancelados cuando la conservación sea necesaria para el cumplimiento de las obligaciones contractuales que vinculen a la empresa con el interesado y justifiquen el tratamiento de los datos.
  • Igualmente no se procederá a la cancelación cuando pudiese causar perjuicios al propio Titular de los datos o a un tercero.

Respecto al Derecho de Oposición

Se podrá ejercitar este Derecho cuando exista un motivo legítimo y fundado referido a una situación personal concreta, y siempre que una Ley no lo impida.

La Oposición puede referirse:

  • A que los datos se incorporen en un Fichero.
  • A que los datos sean comunicados a terceros.
  • A las dos posibilidades anteriores.
Este Derecho ha de ejercitarse mediante un escrito, dirigido al Responsable del Fichero, en el que se haga constar el motivo fundado y legítimo referido a la situación concreta justificativa de la solicitud.

También se puede ejercitar este Derecho en el mismo momento de la recogida de la información, por lo que las entidades estarán muy pendientes de comprobar si el Titular de los datos ha señalado con una X su negativa a la cesión o comercialización de los datos, aún en el supuesto en que no quepa este Derecho respecto al Fichero de la empresa, porque exista una relación contractual que lo impida.

El Responsable del Fichero, desde la recepción de la petición, tiene de máximo un mes de plazo para resolver sobre el ejercicio del derecho. Si no contesta en ese plazo, el Titular de los datos considerará desestimado el ejercicio de su derecho y podrá presentar una reclamación ante la AEPD.

En el caso de que el ejercicio del derecho sea procedente, el Responsable del Fichero debe excluir del tratamiento, los datos objeto del Derecho de Oposición.


El ejercicio del Derecho de Oposición en los Ficheros de datos con fines publicitarios y de prospección comercial


Se podrá ejercitar este derecho con una simple solicitud dirigida al Responsable del Fichero, sin necesidad de justificación.

En este caso, el Responsable del Fichero deberá cancelar los datos en el momento de recibir la solicitud. También evitará tratarlos, si en la recogida el Titular ejerce este derecho poniendo alguna cruz en la ventanilla habilitada al efecto. Las entidades deberán tener mucho cuidado de no cometer el error de no controlar estos detalles que aparecen en la documentación en la que se solicita el consentimiento.


Respecto al Derecho de Tutela

Cuando un Ciudadano ejerza el derecho de Tutela ante la AEPD, el Responsable del Fichero se verá sometido a un expediente, si la Agencia estima procedente el ejercicio de este Derecho, que originará estos momentos procesales:

  • La AEPD dará traslado de la reclamación al Responsable del Fichero.
  • Éste tienen 15 días para hacer las alegaciones oportunas.
  • La AEPD resolverá el Expediente en un plazo máximo de 6 meses, con traslado de la resolución a cada una de las Partes.
  • Al margen de este expediente derivado del ejercicio del derecho de Tutela, existe la posibilidad de que la Agencia inicie de oficio un procedimiento sancionador, cuando de la resolución que dicte se deriven indicios o pruebas razonables de infracción de la legislación de protección de datos, por parte de la empresa denunciada.
Establecidas estas generalidades de interés para nuestras empresas, en las siguientes píldoras iré tocando aspectos de interés que ayuden al cumplimiento de las obligaciones que asumen las empresas con los Ficheros de datos de carácter personal. Y nada mejor para este objetivo que aprender de los errores que se comenten y de las consecuencias económicas que originan los mismos.