Boletín LOPD Octubre 2012
El ciclo de vida de los datos
En el tratamiento de los datos personales tenemos cuatro momentos fundamentales:
1. Recogida de los datos: Es el momento en que se recogen los datos. Puede ser del propio interesado, de un Tercero o de fuentes accesibles al público.
2. Conservación y utilización de los datos: Es el momento en que introducimos los datos recogidos en el fichero y los utilizamos para una finalidad específica. Por ejemplo, elaborar facturas, nóminas, contratos, etc.
3. Comunicación de los datos: Es el momento en que comunicamos los datos, o el resultado del tratamiento a Terceros. Esto es conocido como “cesión o comunicación de datos”, ya sea a otra entidad o a la administración.
4. Supresión de los datos: Es el momento en que eliminamos definitivamente los datos porque ya no son necesarios o pertinentes para la finalidad para la cuál fueron recabados en su momento.
En cada uno de estos momentos existen unas obligaciones específicas y definidas que han de ser cumplidas.
A TENER EN CUENTA
El responsable del fichero es responsable en todos y cada uno estos momentos de lo que se hace con los datos.
Sanción por no atender requerimiento de la AEPD
En el procedimiento sancionador PS/00101/2012 se puede ver la sanción que puede sufrir una empresa por no atender debidamente el ejercicio de los derechos de los ciudadanos, máxime, cuando la AEPD lo ha requerido para ello.
Con fechas 4 y 13 de enero de 2012, tuvieron entrada la AEPD escritos de Don B.B.B. (en lo sucesivo el enunciante), en los que denuncia que Don A.A.A. (en lo sucesivo el denunciado) no ha cumplido el requerimiento del Director de esta AEPD, relativo a la Resolución de la tutela de derechos nº TD/00706/2010, por la que se estimaba su reclamación y se instaba al denunciado para que en el plazo de diez días facilitase el acceso a sus datos sanitarios contenidos en sus ficheros o, en su defecto, denegase motivada y fundamentadamente dicho acceso.
En fecha 2 de abril de 2012, se intentó la notificación del citado acuerdo de inicio de procedimiento sancionador al denunciado, por medio del servicio de correos, con el resultado de “Ausente en reparto”. Se envió para su notificación el citado acuerdo de inicio de procedimiento sancionador al denunciado, mediante su exposición en el Tablón de edictos del Ayuntamiento de Valencia. El edicto estuvo expuesto en el Tablón de edictos del Ayuntamiento de Madrid desde el 25 de abril al 15 de mayo de 2012. El 27 de abril de 2012 se publicó en el Boletín Oficial del Estado, otorgándose al denunciado plazo para efectuar alegaciones a dicho acuerdo.
La falta de atención al requerimiento del Director de la AEPD al imputado en este procedimiento, establece la base de facto para fundamentar la imputación de la infracción.
Resultado: Sanción de 5.000€ por infracción del art. 37.1.a) de la LOPD.
LA AEPD ACLARA
Uso de cámaras para controlar asistencia
El informe 0392/2011 de la AEPD resuelve la consulta planteada sobre la conformidad con lo dispuesto en la LOPD, y su Reglamento de Desarrollo, del tratamiento de los datos necesarios para el reconocimiento de los alumnos de un determinado centro universitario a través de programas de reconocimiento facial, que se utilizarán para el control de su asistencia a las clases y la identificación de los mismos en la realización de las correspondientes pruebas.
De dicho informe jurídico se extrae lo siguiente:
- Para comprobar si una medida restrictiva supera el juicio de proporcionalidad, y por tanto, puede aplicarse, se ha de constatar que cumple estas tres condiciones:
- Si tal medida es susceptible de conseguir el objetivo propuesto (juicio de idoneidad).
- Si, además, es necesaria, en el sentido de que no exista otra medida más moderada para la consecución de tal propósito con igual eficacia (juicio de necesidad).
- Y finalmente, si la misma es ponderada o equilibrada, por derivarse de ella más beneficios que perjuicios (juicio de proporcionalidad en sentido estricto).
- La finalidad, propuesta, control de asistencia, podría lograrse igualmente a través de otros mecanismos utilizados habitualmente y menos intrusivos.
En conclusión, dicho tratamiento de los datos vulnera, a juicio de la AEPD, el principio de proporcionalidad y, en segundo lugar, genera unos riesgos innecesarios derivados del propio tratamiento de los datos que no se concilian fácilmente con las normas reguladoras del derecho fundamental a la protección de datos de carácter personal.