Abanlex Abogados

La Agencia Española de Protección de datos ha publicado esta semana el “Informe de cumplimiento de la LOPD en Hospitales” en el que se recogen los resultados y concluiones sobre el nivel de cumplimiento de las garantías de protección de datos en centros sanitarios públicos y privados de toda España.

El cumplimiento de la normativa es alto en el conjunto de centros privados, alcanzándose niveles elevados en la mayoría de conceptos clave analizados: inscripción de ficheros (99%), inclusión de cláusulas informativas en los formularios de recogida de datos (94,5%), disponibilidad de procedimientos para atender el ejercicio de los derechos ARCO (97%) y, en general, en la implantación de medidas de seguridad y su auditoría periódica.

En promedio, y con excepción de las comunidades de La Rioja y Murcia, el nivel de cumplimiento en los centros públicos es menor que en los centros privados. Las mayores diferencias con éstos se dan en la inclusión de cláusulas informativas en los formularios de recogida de datos (55% frente a 94,5%) y en la realización de la auditoría bienal de seguridad (45% frente a 88%). Además de las señaladas, las áreas de mejora más importantes son la instalación de carteles informativos sobre el derecho a la protección datos, la revisión periódica del documento de seguridad, el registro de todos los accesos a la información, el archivo de las historias clínicas en dispositivos dotados de mecanismos que obstaculicen su apertura, así como la adopción de medidas para evitar la sustracción, pérdida o acceso indebido a la documentación durante su transporte. Es importante asimismo destacar que en el caso de los hospitales de titularidad pública, los indicadores varían significativamente según el aspecto y comunidad autónoma de que se trate.

La mayoría de hospitales (86%) han contratado actividades de tratamiento de datos personales. En la práctica totalidad de estos casos se ha incluido en el contrato de prestación de servicios la cláusula informativa prevista en el artículo 12 de la LOPD. Sin embargo, el porcentaje de centros que en este escenario aplican procedimientos de disociación de los datos de carácter personal es todavía bajo (34%).

El informe ofrece las siguientes recomendaciones:

• Mantener actualizada la inscripción de los ficheros de datos de carácter personal.
• En el caso de ficheros de titularidad pública, tener publicada en el diario oficial correspondiente y actualizada la pertinente disposición general de adecuación a la LOPD y al RLOPD
• Incluir en los impresos y formularios de recogida de datos de los pacientes y usuarios cláusulas informativas respecto al tratamiento de datos personales, conforme al artículo 5 de la LOPD, y adaptarlas en cada formulario en función del fichero en el que se van a incluir los datos y/o finalidad para la que van a ser utilizados (asistencia sanitaria, epidemiología, investigación, docencia, evaluación de la calidad asistencial, etc.)
• Colocar carteles informativos sobre el derecho a la protección de datos personales de los usuarios del centro, que sean fácilmente visibles por éstos.
• Informar al personal de limpieza sobre la necesidad de garantizar la confidencialidad de los datos (por ejemplo, en la recogida de la basura)
• Es recomendable aplicar procedimientos de disociación de los datos de carácter personal en los tratamientos de datos que hayan sido externalizados.
• Registrar todos los accesos realizados a los historiales clínicos, almacenando la información de cada uno de ellos prevista en el Reglamento de desarrollo de la LOPD durante un periodo no inferior a dos años.
• Realizar auditorías para verificar si el personal autorizado utiliza los datos para la finalidad que justificó el acceso.
• Almacenar los archivos físicos de historias clínicas en áreas en las que el acceso esté protegido con puertas de acceso dotadas de sistemas de apertura mediante llave o dispositivo equivalente. Asimismo, y en el interior de estas áreas, almacenar los expedientes clínicos en archivadores que dispongan de mecanismos que obstaculicen su apertura.
• Custodiar la documentación clínica de pacientes cuando ésta no se encuentre archivada en los dispositivos de almacenamiento indicados en el punto anterior por encontrarse en proceso de revisión o consulta, impidiendo que pueda ser accedida por personas no autorizadas.
• Adoptar medidas para evitar la sustracción, pérdida o acceso indebido a la documentación durante su transporte (ej. traslado de las historias clínicas).
• Realizar la auditoría bienal de seguridad del fichero de historias clínicas y de otros que puedan contener datos relativos a la salud de las personas, adoptando medidas correctoras para subsanar las deficiencias encontradas.

Documentos de interés:
- Nota de prensa de la AEPD (pdf)
- Informe de cumplimiento de la LOPD en Hospitales (pdf)

La cesión de datos personales entre empresas o instituciones para el cumplimiento de sus fines, ha de ser realizada siempre previo consentimiento del interesado, como indica el artículo 11 de la LOPD. Si bien, el apartado segundo de este mismo artículo establece varias excepciones que eximen del recabo del mencionado consentimiento como es, entre otros, que dicha cesión esté autorizada en una ley.

Llegado el momento, se plantea por parte de una Federación Deportiva Autonómica (valenciana) ante la Agencia Española de Protección de Datos una cuestión acerca de la necesidad o no de firmar un contrato de encargado de tratamiento con motivo de la cesión de los datos personales de los deportistas licenciados en su federación al objeto de la participación de estos en competiciones nacionales.

Se plantean dos implicaciones importantes en esta consulta. Por un lado, si existe habilitación legal que ampare esa cesión y, por otro, la consiguiente necesidad o no de articulación de los términos de la cesión entre federaciones mediante el contrato de encargado del tratamiento.

Lo primero que resuelve la AEPD es que la descrita comunicación de datos relativos a licencias constituye “una auténtica cesión de datos” con base en las definiciones del artículo 3. i) de la LOPD. Considerando esta cesión como tal habrá que ceñirse a lo que estipule el régimen general de cesión de datos del artículo 11: “Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado“. Este artículo, como se dijo antes, contiene una excepción por la cual tal cesión no exigirá el consentimiento del interesado en aquellos casos en los que esté amparada por una ley.

Ahondando en la legislación que contempla emisión de licencias encontramos que este hecho se encuentra pevisto en la Ley 10/1990, de 15 de octubre, del Deporte. En concreto, el artículo 32 de la Ley del Deporte estipula: “1.Para la participación de sus miembros en actividades o competiciones deportivas oficiales de ámbito estatal o internacional, las Federaciones deportivas de ámbito autonómico, deberán integrarse en las Federaciones deportivas españolas correspondientes” (…) “4. Para la participación en competiciones deportivas oficiales, de ámbito estatal, será preciso estar en posesión de una licencia deportiva, expedida por la correspondiente federación deportiva española, según las condiciones y requisitos que se establecerán reglamentariamente. Las licencias expedidas por las federaciones de ámbito autonómico habilitarán para dicha participación cuando éstas se hallen integradas en las federaciones deportivas españolas, se expidan dentro de las condiciones mínimas de carácter económico que fijen éstas y comuniquen su expedición a las mismas“.

En estos dos epígrafes del texto legal deportivo nos hacen llegar a una conclusión: si la federación autonómica está integrada en la federación estatal, existe habilitación legal para la cesión de los datos personales “ya que la propia ley reconoce a la federación española la obligación de emitir las licencias para poder competir en pruebas oficiales, o que se les comunique las emitidas por las federaciones autonómicas“.

Queda resuelta de igual modo la consulta sobre la necesidad o no del contrato de encargado del tratamiento al tratarse de una cesión de datos legitimada por imperativo legal, de manera que no será necesaria la firma del referido contrato exigido por el artículo 12 de la LOPD.

Etiqueta RFID

El Instituto Nacional de Tecnologías de la Comunicación (INTECO) y La Agencia Española de Protección de Datos (AEPD) publicaron hace unos días una nota informativa, con la intención de dar a conocer la elaboración de un informe sobre seguridad y privacidad de la tecnología RFID (etiquetas de identificación por radio frecuencia). Estos dispositivos son habituales en nuestro día a día y ambas instituciones consideraban necesario dar a conocer el funcionamiento, ventajas y riesgos que se derivan de los mismos, como consecuencia del volumen y la naturaleza de los datos que son capaces de almacenar y transmitir desde cualquier punto.

El informe analiza el funcionamiento de estas etiquetas de identificación, los tipos existentes,  las clases de datos que pueden almacenar y los riesgos que esto conlleva. Asimismo, aporta directrices y recomendaciones enfocadas a la seguridad de los datos personales, tanto para los proveedores, como para los usuarios finales que adquieren este tipo de dispositivos.

Los dispositivos o etiquetas de identificación por radio frecuencia (RFID Radio Frequency Identification Devices), tecnología que permite identificar de forma automática un objeto gracias a una onda que transmite los datos identificativos del objeto por radiofrecuencia, son cada vez más utilizados en elementos y objetos de uso cotidiano de la ciudadanía, mediante la implantación de micro-emisoras/receptoras de radio (denominada ‘tag’ o etiqueta), que actualmente son lo suficientemente pequeñas como para tener la forma de etiquetas adhesivas y, sin embargo, son capaces de almacenar una cantidad elevada de datos. Cada vez son más las entidades que los utilizan para hacer seguimientos  de sus productos y control de la cadena de suministro y de inventarios, o incluso de personas.

En la guía sobre seguridad y privacidad de la tecnología RFID se hace hincapié en que, si bien esta tecnología ofrece grandes oportunidades y facilidades, a su vez puede plantear serios riesgos, dado que pueden llegar a informar a terceros sobre la localización, identidad e historial de un individuo.

En este sentido, en el apartado dedicado a riesgos y amenazas, ambas instituciones advierten de la existencia de importantes riesgos para la privacidad y riesgos de seguridad, y se enumeran una serie de recomendaciones, como la inutilización, desactivación o destrucción de las etiquetas una vez se haya cumplido su misión, notificar el uso de RFID, no almacenar en los tags RFID información personal o dar a conocer a los usuarios cuándo, dónde y por qué se va a leer una etiqueta, entre otras.

Descargas (se facilitan dos enlaces a la misma guía por si uno de ellos dejara de funcionar):

• Descargar gratis la Guía sobre seguridad y privacidad de la tecnología RFID (Fuente: AEPD)
• Descargar gratis la Guía sobre seguridad y privacidad de la tecnología RFID (Fuente: INTECO)

Imagen compartida por Midnightcomm

Descargue el letrero de videovigilancia pulsando sobre la imagen

¿Resulta preciso colocar en una zona videovigilada, de sólo reproducción en tiempo real, un cartel informativo sobre el tratamiento de datos personales con fines de videovigilancia a través de sistemas de cámaras o videocámaras?

La respuesta es que colocar dicho cartel es necesario puesto que, aunque no se graben, con la mera captación se tratan datos de carácter personal, siendo aplicable la Ley Orgánica de Protección de Datos en lo referente al derecho de información, así como la Instrucción 1/2006, de 8 de Noviembre de la Agencia Española de Protección de Datos.

La imagen de una persona identificada o identificable constituye un dato personal cuyo tratamiento está sujeto a la normativa de protección de datos, regulado en concreto por la instrucción 1/2006, de 8 de noviembre, de la Agencia Española de Protección de Datos, sobre el tratamiento de datos personales con fines de videovigilancia a través de sistemas de cámaras o videocámaras.

Dicha Instrucción resulta de aplicación para los casos de captación de imágenes con independencia de que éstas se graben o no.

El derecho de información es uno de los elementos esenciales de la cadena de Protección de Datos que se encuentra recogida en el artículo 5.1 de la Ley Orgánica de Protección de Datos. En materia de videovigilancia, dadas sus especiales características, la información debe facilitarse según dispone el artículo 3 de la Instrucción de 1/2006 , conforme al cual “Los responsables que cuenten con sistemas de videovigilancia deberán cumplir con el deber de información en el artículo 5 de la Ley Orgánica de Protección de Datos 15/19999, de 13 de diciembre”.

Así pues, el tratamiento de las imágenes por el responsable del tratamiento obliga a cumplir con el deber de informar a los afectados en los términos establecidos en el citado artículo, siendo necesario:

• Colocar en las zonas videovigiladas un distintivo informativo, ubicado en un lugar suficientemente visible, tanto abiertos como cerrados.
• Tener a disposición de los interesados impresos en los que se detalla la información requerida en el artículo 5 de la Ley Orgánica de Protección de Datos.

Por medio de dicho cartel e impresos los afectados deben ser informados:

1. De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad recogida en ellos, y de los destinatarios de la información.
2. Del carácter obligatorio o facultativo de la respuesta a las preguntas que les sean planteadas, y de las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
3. De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición, junto con la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

Por tanto, para el caso de uso de sistemas de videovigilancia en tiempo real, deberá contarse con el derecho de información que se encuentra en el artículo 5 de la Ley Orgánica de Protección de Datos, la utilización de impresos estandarizados en las zonas de videovigilancia, y con un distintivo o cartel informativo.

Hacía más de diez meses que habitaba en esta desdichada isla y parecía que cualquier posibilidad de salvación de esta condición me hubiera sido totalmente negada. Además, estaba convencido de que ningún ser humano había puesto un pie en este lugar. Ya me había asegurado perfectamente la habitación y ahora tenía grandes deseos de explorar la isla más a fondo para ver qué cosas podía encontrar que aún no conocía. Daniel Defoe, “Robinson Crusoe” (1719)

Imagen cedida por Martin BOULANGER

¿Cómo sería un mundo sin marketing? Quizás nos sintiésemos solitarios en una isla sin estímulos publicitarios, pero sin embargo hay cierto tipo de prácticas que son comúnmente rechazadas, especialmente las que se transmiten por medio de vías que consideramos privadas, las que llegan a nuestro correo o teléfono sin nuestro consentimiento y en ocasiones nos impiden “ver qué cosas podía encontrar que aún no conocía”.

Es notoria la insistencia de algunas compañías a la hora de presentar sus ofertas. En especial, las llamadas para ofrecer nuevas promociones son unos de los generadores de ruido más relevantes en la actualidad, celebrando las compañías de marketing que dispongamos de un terminal ligado a nuestra persona de forma permanente o un teléfono siempre activado en el hogar. La publicidad directa no solicitada es una de las prácticas comerciales intrusivas más relevantes y la recepción de llamadas publicitarias es “una de las preocupaciones que más afectan a los ciudadanos” según la Memoria de 2008 de la Agencia Española de Protección de Datos (AEPD).

No se trata de un fenómeno nuevo. Podemos encontrar las primeras referencias sobre correos publicitarios recibidos por vía postal sin autorización (también llamados junk mails) en 1954 tras muchos años de aplicación posiblemente a partir del desarrollo comercial de la máquina de escribir. El primer correo electrónico que podría denominarse spam fue enviado a todos los usuarios de ARPANET en la Costa Oeste en el año 1978 publicitando una reunión para la venta de un equipo informático. Este acto de comunicación fue definido por sus destinatarios como un abuso del directorio (base de datos con los e-mails de los usuarios), competencia desleal o uso ilegítimo de la red, teniendo en cuenta que ésta formaba parte de una Agencia del Departamento de Defensa de los Estados Unidos.

Desde entonces, el mero hecho de disponer de un buzón en el domicilio, un teléfono fijo o móvil, una dirección de e-mail o un número de fax nos sitúa como sujetos pasivos del marketing directo pudiendo ser receptores de innumerables mensajes, llamadas y panfletos. Esta situación ha sido en cierta parte paliada a través del artículo 18.4 de la Constitución limitando “el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos” así como la normativa sobre defensa de los consumidores con base en el artículo 51 de la Constitución.

…

[Ésta es la primera parte del artículo LA LISTA ROBINSON escrito por Jesús Martín para la revista Lex Nova. Para leer el artículo completo descárguelo gratis en PDF o acceda a la web de la revista (páginas 30 y 31)]