En España, toda persona o entidad que proceda a la creación de ficheros de datos de caracter personal (por ejemplo, website de comercio electrónico con base de datos de clientes) debería notificarlo previamente a la Agencia Española de Protección de Datos (AGPD). Así mismo, es obligatorio comunicar las variaciones que se produzcan en la finalidad, en su responsable y en la dirección de su ubicación o cualquier otra circunstancia que implique alguna variación en la información anotada registralmente. La notificación se realiza mediante un formulario en formato papel o digital. En muchos casos se plantean dudas sobre Cómo se han de cumplimentar estos formularios.
Por cierto, Comercio Electrónico Global ofrece un servicio profesional de adaptación de sitios web informativos y transaccionales a la legislación de protección de datos, necesitas un presupuesto puedes solicitarlo utilizando el siguiente formulario: Solicitud de Presupuesto LOPD
La propia AGPD, ha publicado un extenso trabajo que se puede descargar en el portal de dicha agencia en el cual se realiza una evaluación de la Evolución del sistema de protección de datos. En una de las secciones, que aque transcribimos, se sintetizan algunas sitúaciones que han sido objeto de consulta por parte de los responsables de ficheros:
Dudas planteadas acerca de la notificación de ficheros con datos especialmente protegidos
Durante la Tramitación de algunos expedientes de inscripciión con datos de esta naturaleza y ante la posibilidad de que se hubieran producido ciertos errores al cumplimentar la notificación, se ha requerido a los responsables para que subsanasen el posible error o procedieran a efectuar las alegaciones que estimasen oportunas, al objeto de aclarar las circunstancias en las que se produce el tratamiento de este tipo de dato.
En la mayor parte de los casos, los responsables han subsanado sus declaraciones debido a que, efectivamente, se había producido un error al cumplimentar el apartado de Estructura básica y descripción de los tipos de datos de caracter personal incluidos en el fichero. No obstante, en algunos casos, han manifestado, en las alegaciones presentadas, el motivo que les ha llevado a recoger y tratar este tipo de datos.
En este mismo orden, cabe señalar las alegaciones presentadas por una entidad financiera que había considerado pertinente notificar datos de ideología, afiliación sindical, religión y salud en un tratamiento cuya finalidad era tramitar los adeudos por domiciliaciones, de forma separada del tratamiento genérico de clientes.
Esta decisión fue tomada, entre otras razones, porque determinados adeudos por domiciliaciones llevan incorporados datos que podrían considerarse especialmente protegidos, en función de la identidad del emisor (por ejemplo, un sindicato, una Asociación de enfermos, un instituto religioso o un partido político) o del concepto que venga indicado en el soporte magnético (cuota de afiliado o de asociado). Pues bien, es criterio de la Agencia que estos tipos de datos especialmente protegidos deben ser incluidos en el subapartado Datos especialmente protegidos en el apartado Estructura básica y descripción de los tipos de datos de caracter personal incluidos en el fichero de la notificación del fichero.
En el mismo sentido, aunque en este caso más habitual, se notifican datos de ideología, religión o creencias en tratamientos relacionados con los asuntos tramitados por los asesores fiscales, consignando en las notificaciones estos tipos de datos especialmente protegidos, dentro del marco global del asesoramiento a clientes o confección de declaraciones del Impuesto de la Renta de las Personas físicas.
La Ley de Presupuestos Generales del Estado, establece el sistema de asignación tributaria a la Iglesia Católica. En su virtud, el Estado destina al sostenimiento de la Iglesia Católica el 0.5239 por 100 de la cuota íntegra del Impuesto sobre la Renta de la Personas Físicas correspondiente a los contribuyentes que manifiesten expresamente su voluntad en tal sentido, pudiendo optar, también, por destinar dicho porcentaje a fines sociales (Organizaciones no Gubernamentales de Acción Social y de Cooperación al Desarrollo para la realización de programas sociales).
Si bien, por una parte, resulta evidente que al cumplimentar las declaraciones del IRPF queda reflejada en soportes informáticos la opción sobre el destino de la asignación tributaria, y en este sentido hay opiniones que afirman que, efectivamente, se están tratando datos especialmente protegidos, también hay opiniones en el sentido contrario, es decir que sostienen que resulta excesivo establecer que una opción de asignación tributaria indica las creencias de un determinado individuo. El criterio de la Agencia, al respecto, es que el tratamiento de esta circunstancia y su almacenamiento en un soporte supone un tratamiento de datos especialmente protegidos y los mismos deben ser notificados en el subapartado Datos especialmente protegidos.
Por otra parte, en algunas notificaciones se ponen de manifiesto errores al cumplimentar el apartado de Estructura básica y descripción de los tipos de datos de caracter personal incluidos en el fichero / otros datos especialmente protegidos, dado que señalan la casilla correspondiente a Origen racial o étnico, cuando, en realidad, se están recabando datos relativos a la nacionalidad.
En otras ocasiones, al tramitar los expedientes de inscripciión, se observa que, del contenido de la declaración, se pudiera deducir que el tratamiento declarado debiera incluir datos especialmente protegidos que no se han consignado en la notificación. Ante esta situación, y ante la posibilidad de que se hubiese cometido un error, se requiere al responsable del tratamiento para que subsane o realice las alegaciones que estime pertinentes.
Dentro de este caso se encuentran las declaraciones en las que se había señalado en el Apartado de Responsable del fichero o tratamiento, como Código de actividad principal de la entidad responsable del fichero, actividades políticas, sindicales y religiosas y, sin embargo, no se había señalado que se recabaran datos especialmente protegidos relacionados con sus miembros o socios.
Con el fin de advertir del posible error, se informó al responsable de que el Código de actividad tipificado como actividades políticas, sindicales y religiosas, únicamente deb?a ser señalado cuando los asociados o miembros pertenezcan a un partido político, sindicato, entidad religiosa o una Asociación o Fundación cuyos fines sean políticos, sindicales o religiosos. Para los casos en los que el responsable no estuviera incluido en este tipo de actividad exist?a un Código de actividad principal, tipificado como Actividades asociativas diversas.
No obstante, si la entidad responsable del fichero estuviera constituida como una Asociación, y los estatutos de dicha Asociación establecieran la necesidad de que sus miembros o asociados pertenecieran a una determinada religión o ideología, se entiende que ese tratamiento sí podrá revelar la ideología, creencias o religión y, por lo tanto, será necesario que se cumplimente el apartado de Estructura básica y descripción de los tipos de datos de caracter personal incluidos en el fichero / Datos especialmente protegidos.
Otras sitúaciones en las que se producen dudas, en relación con los datos especialmente protegidos, son las referentes a los casos en los que se tienen previsto realizar transferencias internacionales a entidades establecidas en países que no ofrecían un nivel de protección adecuado. En ellas se ha exigido que en la cláusula, mediante la que se solicitaba el consentimiento inequevoco a la transferencia, se incluya el consentimiento expreso exigido en el tratamiento de datos especialmente protegidos, de conformidad con el artículo 7 de la LOPD, de manera que dicho consentimiento incluyera una mención expresa de que se tenía previsto transferir este tipo de datos.
Dudas sobre la cumplimentacion del apartado de Responsable del fichero o tratamiento?
Se ha planteado, con bastante frecuencia a la hora de cumplimentar el modelo de notificación, una duda que ha consistido en que el solicitante cumplimenta el apartado de Responsable del fichero con los datos correspondientes al empleado o directivo que tiene la responsabilidad funcional del área relacionada con los datos y finalidades que se incluyen en el fichero.
Los criterios que se deberían tener en cuenta para determinar la identidad del responsable del fichero, son los que establece la LOPD, en el apartado d) del artículo 3 en el que se considera responsable del fichero o tratamiento ela persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del fichero o tratamiento?.
Así mismo, el artículo 5 de la citada Ley, que regula el derecho de información en la recogida de datos, establece que los interesados a los que se soliciten datos personales deberían ser previamente informados de modo expreso, preciso e inequevoco, entre otros extremos, de la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.
A su vez, podrán crearse ficheros de titularidad privada, que contengan datos de caracter personal, cuando resulten necesarios para el logro de la actividad u objeto legítimos de la persona, empresa o entidad titular, de conformidad con lo establecido en el artículo 25 de la Ley 15/1999.
Por lo tanto, para determinar la identidad del responsable del fichero se debería tener en cuenta lo establecido en los artículos 3 d), 5.1 y 25 de la LOPD. En todo caso, los datos identificativos que figuran en la cláusula, mediante la que se cumple con el derecho de información en la recogida de los datos a que se refiere el citado artículo 5, serán los que deban figurar, a los efectos de inscripciión en el RGPD, en el apartado de Responsable del fichero o tratamiento.
En otras ocasiones, han surgido dudas al figurar como responsable del fichero entidades, servicios o centros de servicios sociales, cuya actividad correspondía a una Asociación de interés social.
Durante la Tramitación de estos expedientes se ha tratado de clarificar si estas entidades eran responsables del tratamiento o si estaban realizando una prestación de servicios por cuenta de organismos públicos con competencias en materia de servicios sociales dentro de los servicios sociales especializados, como, por ejemplo, la atención social a las personas mayores, a los discapacitados, a los drogodependientes, a las personas con riesgo o situación de exclusión social, etc.
Aunque la normativa dictada por las Comunidades Autónomas en materia de servicios sociales es muy amplia, estas normas reglamentan y establecen los criterios que deben cumplir las entidades, servicios y centros públicos y privados, con o sin ánimo de lucro, que presten servicios sociales.
Si bien la responsabilidad pública de promover y garantizar la prestación de servicios sociales recae sobre los órganos competentes de la Comunidades Autónomas, no obstante las entidades que prestan estos servicios podrían ser responsables de los tratamientos que fueran necesarios para gestionar los mismos.
Dudas sobre la cumplimentación de la Hoja de solicitud
Cuando el responsable del fichero notifica una inscripciión al RGPD, debe hacer constar los datos relativos a la persona física que actúa como declarante y la dirección a efectos de notificación, en la hoja de solicitud que forma parte del modelo de notificación.
En determinadas ocasiones si la persona que en su día firmó la solicitud ha cesado en su cargo, se solicita la modificación de los datos que figuran inscritos para que consten los datos identificativos de la persona que tiene la representación de la entidad en la actualidad.
Es necesario tener en cuenta que los datos relativos a la persona física que actúa como declarante de la notificación no forman parte registral de la inscripciión del fichero. Sus datos identificativos únicamente se tratan a los efectos previstos en los procedimientos administrativos que sean necesarios para la Tramitación de las correspondientes inscripciones de las notificaciones presentadas, por lo que no procede notificar este tipo de cambio.
Dudas acerca de si cualquier tratamiento de datos en el que está involucrada una entidad o persona establecida fuera del territorio español es una transferencia internacional de datos
En algunos tratamientos de datos relacionados con la gestión de la cartera de clientes que tienen su domicilio fuera del territorio español, el responsable del fichero ha entendido que realizaba una transferencia internacional de datos, puesto que emite las facturas a la dirección del cliente, y esta se encuentra fuera del territorio español.
En un principio, cabe entender que no se está produciendo una transferencia internacional ni tampoco una cesión de datos, puesto que por tal se considera toda revelacion de datos a un tercero distinto del afectado o el responsable, por lo que, en este caso, la comunicación de los datos al propio afectado no constituye una cesión de datos.
No obstante, lo señalado en el párrafo anterior, sí se producen flujos internacionales de datos en las transferencias bancarias para la gestión de cobros y pagos de clientes cuyo domicilio se encuentra fuera del territorio español. En estos casos, son las entidades financieras, a las que las leyes reconocen como prestadoras servicios bancarios, las que realizan estas transferencias y, por lo tanto, deberían constar en los ficheros de su titularidad estas transferencias internacionales. A tal fin, se señalará, en el apartado de Transferencias internacionales, como destinatarios de las transferencias las Entidades financieras internacionales (bancos y cajas para ejecución de cobros y pagos)?, amparadas en lo dispuesto en el apartado d) del artículo 34 de la LOPD que exceptúa de la norma general las transferencias dinerarias realizadas conforme a su legislación específica.
Dudas acerca de la cumplimentación del apartado Encargado de tratamiento?
En el apartado de Encargado del tratamiento es preciso resaltar dos sitúaciones. Una de ellas, se produce en aquellos casos en los que se quiere notificar la existencia de más de un encargado, ya que el modelo de notificación únicamente contempla la posibilidad de notificar un solo encargado. La segunda, se produce cuando no se puede distinguir si se trata de una prestación de servicios, en los términos previstos en el artículo 12 de la Ley o de una cesión de datos.
En primer lugar, es necesario tener en cuenta que el apartado de Encargado de tratamiento no es de notificación obligatoria, por lo que, a los efectos de inscripciión, no es necesario cumplimentar todos los encargados que traten datos de caracter personal por cuenta del responsable. Con caracter general, se ha informado a los responsables que, si bien este tratamiento por cuenta de terceros debería estar regulado en un contrato que debería constar por escrito en los términos del artículo 12 de la Ley, a los efectos de inscripciión, únicamente se consignarán en dicho apartado los datos de uno de los encargados del tratamiento.
Se recomienda que se haga constar la denominación del encargado que realice el tratamiento de datos que pueda implicar una mayor duración en el tiempo, o riesgos mayores Según el tipo y la cantidad de datos tratados.
No obstante, en alguna ocasión, se ha puesto de manifiesto que se notificaban distintas finalidades (clientes, recursos humanos, gestión bancaria, etc.) en una misma declaración, y que el responsable pretendía con una única declaración notificar conjuntamente los encargados de tratamiento correspondientes a todas estas finalidades. En estos casos, se debe realizar una notificación por cada uno de los distintos tratamientos o usos del fichero, teniendo en cuenta la diversidad de colectivos de afectados, de esta manera se pueden incluir en cada notificación los datos de un prestador de servicios.
También hay que mencionar los casos en los que se pretende cumplimentar el apartado de Encargado del tratamiento, haciendo constar las denominaciones de las entidades que, en realidad, son destinatarios de cesiones de datos, en vez de prestadores de servicios por cuenta del responsable del fichero.
En este sentido, es necesario determinar si la transmisión de datos constituye una cesión de datos o si, por el contrario, dicha Transmisión supone la realización de un tratamiento por cuenta del responsable del fichero, de acuerdo con las previsiones del artículo 12 de la Ley.
En el caso de que los datos se destinen, no para la simple realización de actividades de tratamiento por cuenta del responsable (artículo 12 de la Ley), sino para incorporar la información a los ficheros de la entidad destinataria, su Transmisión será constitutiva de una cesión de los mismos, de conformidad con el artículo 3 i) de la LOPD, cuando la define como toda revelación de datos realizada a una persona distinta del interesado.
En este caso de cesión, se debería cumplimentar el apartado de cesión o comunicación de datos, indicando los destinatarios de las mismas o, en el caso de que exista un número indeterminado de ellos, las reglas que permitan su identificación, de acuerdo con las instrucciones del modelo de notificación, y no se debería cumplimentar en el apartado de encargado del tratamiento.
Dudas relacionadas con la cumplimentación del apartado ?Procedencia y procedimiento de recogida de los datos
Por su relevancia merecen ser señalados los tratamientos relacionados con los datos de caracter personal de menores de edad. Como ejemplo, se puede citar la situación que se produce cuando los familiares para hacer un regalo (abuelos, tíos, etc.) contratan con empresas que se dedican a esta actividad, incluyendo una foto del menor para su Publicación en Internet.
El responsable del fichero había notificado que los datos procedían de Otras personas distintas del interesado o su representante legal, sin embargo, se informó al responsable de que, en tales supuestos, es preceptivo, antes de publicar en Internet la foto y los datos de un menor de edad, que se recabe el consentimiento de los representantes legales del menor.
Fuente: Agencia de Protección de Datos - AGPD -, 2003. La Protección de Datos de Caracter Personal en España: Análisis y Valoración. España.