Tratamientos de datos prohibidos por Ley Orgánica de Protección de Datos
Como sabemos, la LOPD regula el tratamiento de datos personales realizado por las entidades (tanto públicas como privadas), empresas y organizaciones (asociaciones, fundaciones, etc.).
Sin embargo, podría darse el supuesto que una organización recopilase masivamente datos sensibles de los ciudadanos para darlos un uso cuanto menos cuestionable.
A estos efectos, y con objeto de proteger a los ciudadanos de esta posible práctica, la LOPD prohíbe expresamente los ficheros creados en la finalidad exclusiva de almacenar datos de carácter personal que revelen la ideología, afiliación sindical, religión, creencias, origen racial o étnico o vida sexual.
Es decir, no se pueden crear fichero cuya única finalidad sea recoger estos datos sin que exista ninguna otra finalidad que la simple recogida y almacenamiento de estos datos.
Esto se aplica tanto a ficheros automatizados (los que se conservan en soportes informáticos) como a ficheros no automatizados (los que se conservan en soporte papel).
A TENER EN CUENTA
Hay que tener muy clara la finalidad de la recogida de los datos personales e informarla adecuadamente.
Sanción por mandar correos utilizando el campo CC
En la resolución R/02997/2012 de la AEPD se puede ver la sanción que puede sufrir una empresa por mandar correos electrónicos a varios destinatarios utilizando el campo Con Copia (CC), en lugar de utilizar Con Copia Oculta (CCO).
Con fecha 31 de mayo de 2012 se recibe en el registro de la Agencia Española de Protección de Datos un escrito de reclamación de A.A.A. en el que se pone de manifiesto los siguientes hechos. El día 25 de mayo de 2012, la denunciante ha recibido en su dirección de correo electrónico xxx@yahoo.com un correo remitido desde la dirección xxx@santamarialareal.org en el que figuran las direcciones de correo de aproximadamente 1000 personas. La denunciante manifiesta que, con anterioridad a la fecha de envío del correo, había adquirido una colección de DVD a dicha entidad facilitando su dirección de correo electrónico.
La dirección de correo electrónico, considerando que contiene información acerca de su titular, o en la medida en que permita proceder a la identificación del mismo, ha de ser considerada como dato de carácter personal y su tratamiento sometido a la LOPD.
Durante el procedimiento de inspección, ha quedado acreditado en el expediente que el denunciante recibió un correo electrónico remitido por el denunciado, donde se visualizaban datos personales de múltiples personas, (direcciones de correo electrónico) (incluido el suyo propio) por lo que ha de entenderse vulnerado el deber de secreto que impone el artículo 10 de la LOPD.
Resultado: Sanción de 2.000€ por una infracción del artículo 10 de la LOPD, tipificada como grave.
IMPORTANTE
Siempre hemos de utilizar el campo CCO (Con Copia Oculta) para hacer envíos masivos de correos electrónicos.
Subcontratación con empresa mexicana
El informe 0352/2011 de la AEPD resuelve la consulta planteada: la consultante indica que desea subcontratar con una empresa mexicana una parte de las tareas, para ello ha ideado un procedimiento que somete a la consideración de esta Agencia a efectos de determinar si puede considerarse como un procedimiento de disociación, de manera que no se aplique lo previsto en la normativa de protección de datos respecto de los movimientos internacionales de datos y de la figura de subencargado de tratamiento.
De dicho informe jurídico se extrae lo siguiente:
- Se plantea si puede considerarse un procedimiento de disociación el consistente en escanear un fichero que contiene datos y asignar a cada registro un identificador único. Posteriormente se trocearía la imagen, apareciendo en cada fragmento un dato aislado al que se le asignaría un código único. Dichas imágenes troceadas se envían a una empresa subcontratada sin que se le envíe el identificador único asignado a cada registro, de manera que no pueda asociar las imágenes correspondientes a una misma persona. Ahora bien, habrá datos que identificarán por si mismos directa o indirectamente a una persona, como es el número del DNI. Por tanto, este proceso de troceado del registro permite que algunos datos identifiquen directa o indirectamente a una persona, lo que imposibilita calificar a dichos datos como disociados.
- Teniendo en cuenta que los datos van a ser transmitidos a México, estaremos ante una transferencia internacional de datos por parte del encargado del tratamiento.
Por tanto, las empresas que contraten con el consultante la informatización de sus ficheros, que serán las obligadas en solicitar la autorización del Director de la Agencia y aportar las adecuadas garantías para la ello.
A TENER EN CUENTA
Siempre que se envíen datos a otro país debemos tener en cuenta que podemos estar realizando una Transferencia Internacional de Datos (TID).
¿Cuáles son los datos que se mandan a la Agencia Española de Protección de Datos al inscribir un fichero?
Los ficheros que maneja una organización se notifican al Registro General de Protección de Datos (RGPD).
La notificación de inscripción de un fichero contiene los siguientes campos:
- Identificación del responsable del fichero.
- Identificación del fichero.
-
Finalidades y usos previstos.
-
Sistema de tratamiento empleado.
-
Colectivo de personas sobre las que se obtienen los datos.
-
Procedimiento y procedencia de los datos.
-
Estructura básica del fichero, descripción detallada de los datos identificativos, y en su caso, de los especialmente protegidos, así como las categorías de datos incluidas en el mismo.
-
Las cesiones o comunicaciones de datos previstas.
-
Las trasferencias internacionales de datos.
-
Los servicios o unidades ante los que pueden ejercerse los derechos de acceso, rectificación, cancelación y oposición.
-
La identificación del encargado del tratamiento, en su caso.
-
La indicación del nivel de medidas de seguridad básico, medio o alto exigible.