¿Cuándo he de pedir consentimiento y cuándo no?
Norma general:
- Hemos de pedirlo siempre.
Excepciones:
- Cuando exista una relación negocial, laboral o administrativa y sean necesarios para la misma
(por ej. prestar un servicio directo al interesado). - El tratamiento de los datos tenga por finalidad proteger un interés vital del interesado (ej. prestarle asistencia sanitaria).
-
Los datos figuren en fuentes accesibles al público y el responsable del fichero, o el tercero a quien se comuniquen los datos, tenga un interés legítimo para su tratamiento o conocimiento, siempre que no se vulneren los derechos y libertades del interesado.
- Se recojan para el ejercicio de las funciones propias de las Administraciones públicas en el ámbito de las competencias que les atribuya una norma con rango de ley o una norma de derecho comunitario.
IMPORTANTE
La solicitud del consentimiento deberá ir referida a un tratamiento o serie de tratamientos concretos, con delimitación de la finalidad para los que se recaba, así como de las restantes condiciones que concurran. Importante: aunque no sea necesario recabar el consentimiento, siempre hemos de informar al interesado de la identidad del responsable, finalidad de la recogida y el ejercicio de derechos ARCO.
SANCIONES DE LA AEPD
Sanción a un fotógrafo por presentar a concurso foto sin consentimiento
En la resolución R/02426/2010 de la AEPD podemos ver cómo es necesario obtener el consentimiento para la publicación de una fotografía que recoja la imagen de una ó varias personas.
Según los hechos, tuvo entrada en la AEPD un escrito de una persona en el que declara que su hijo de siete años, A.A.A. aparece en un cartel publicitario en las estaciones del Metro de Madrid.
El cartel consiste en un anuncio, realizado por la Agencia de Publicidad de la Comunidad de Madrid, del Certamen “II Exposición FotoCam 2009”.
El denunciante indica que la fotografía, titulada “El pequeño Jedi”, ha sido realizada por un fotógrafo profesional y fue tomada de forma furtiva (el niño no mira hacia el objetivo) y sin su consentimiento ni el de su esposa.
Investigados los hechos, el denunciado no ha aportado prueba documental que acredite el consentimiento de los padres y representantes legales del afectado menor de edad, para que dicho fotógrafo pudiera llevar a cabo el tratamiento de datos personales realizado.
Resultado: infracción del artículo 6.1 de la LOPD tipificada como grave, con sanción de 40.001 a 300.000 euros. Teniendo en cuenta los criterios de graduación de las sanciones previstos en el citado artículo 45.4 de la LOPD y, en especial, al volumen de tratamientos, la AEPD procede a sancionar a dicho fotógrafo con una multa de 1.000€.
IMPORTANTE
Como hemos visto en este caso, corresponde al responsable del fichero la prueba del consentimiento para el tratamiento de los datos personales, debiendo siempre poder acreditar que dicho consentimiento ha sido prestado por el titular de los datos.
LA AEPD ACLARA
Cesión de datos a Federación
El informe 0191/2010 de la AEPD resuelve si resulta conforme a la LOPD que la entidad consultante, asociación de fotógrafos, comunique los datos de sus asociados a la Federación de la que forma parte.
De dicho informe jurídico se extrae lo siguiente:
- La integración de la Asociación consultante en dicha Federación, aprobada conforme a lo establecido en sus estatutos, implica la aceptación por sus asociados de las condiciones que derivan de la integración de la misma, estableciéndose así una relación jurídica entre la Federación y los afectados por la cesión de datos que requiere el acceso a los datos relativos a su identidad, por lo que dicha cesión de datos vendría amparada en lo previsto en el artículo 11.2.c) de la Ley Orgánica 15/1999.
- En todo caso, debe recordarse que el artículo 4.1 de la LOPD al recoger el principio de proporcionalidad en el tratamiento de los datos personales dispone que éstos serán “adecuados, pertinentes y no excesivos”, por lo que la cesión deberá limitarse a los datos relativos a la identificación de los asociados.
Recordemos que el artículo 10.4 del RD1720/2007 dice: “Será posible la cesión de los datos de carácter personal sin contar con el consentimiento del interesado cuando: a) La cesión responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control comporte la comunicación de los datos. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique.”
A TENER EN CUENTA
Una cesión no consentida de datos personales que no esté bajo el amparo de ninguna de las excepciones que marca la Ley es una infracción muy grave, con sanción de hasta 600.000€.
EL PROFESIONAL RESPONDE
¿Con quién tengo que hacer e un contrato de acceso a datos por cuenta de terceros?
Se debe hacer un contrato de acceso a datos por cuenta de terceros con los encargados del tratamiento, es decir, con todas las empresas externas que accedan, puedan acceder ó suministremos datos personales con la finalidad de prestarnos un servicio. (p.ej. en una fábrica de muebles su asesoría fiscal, su encargado de vigilancia de la salud, su consultor de protección de datos….)
Estos son algunos de los encargados del tratamiento que pueden existir:
-
Consultora de la LOPD.
-
Mantenimiento informático de hardware y/o vÍdeo vigilancia.
- Proveedor/soporte de software.
-
Servicio de prevención de riesgos laborales y de la vigilancia de la salud.
-
Asesoría laboral, fiscal y/o contable.
-
Consultora de calidad, medio ambiente, SGSI, etc.
-
Certificadora de la norma de calidad, medio ambiente, SGSI, etc.
-
Proveedor de alojamiento y/o correo electrónico.
-
Diseño web, Comercio electrónico, etc.
-
Organizadora y/o impartidora de formación para los trabajadores.
-
Envío de mailings.
“Como Responsables de Fichero, debemos conformar el contrato de encargado del tratamiento antes de que comience la prestación del servicio”
A TENER EN CUENTA
Con la empresa de limpieza, seguridad, o cualquier otra que con motivo de su desempeño pudiera tener acceso a datos personales aunque no sea este su cometido, también debe hacerse un contrato de prestación de servicio sin acceso a datos.