Información adecuada en la recogida de los datos personales

El momento más importante en el correcto cumplimiento de la protección de datos es el momento de la recogida de los datos.

Es en ese momento cuando debemos informar de la finalidad para la cual se recaban dichos datos, quién será el responsable del fichero y cómo se ejercen los derechos de los afectados.

En el caso de que se vaya a producir una cesión de datos (por ejemplo, una agencia de viajes que luego ceda los datos del cliente al tour operador) se deberá informar en el momento de la recogida de los datos (además de solicitar el consentimiento para la misma en los casos que sea necesario).

A modo de checklist, debe verificar que la cláusula informativa indique, como mínimo, la siguiente información:

  • La existencia de un fichero o tratamiento de datos personales.
  • La identidad y domicilio del responsable del fichero.
  • La finalidad a la que se van a destinar los datos.

  • La posibilidad de ejercitar los derechos de acceso, rectificación, cancelación.

  • En caso de realizarse una cesión de datos, la finalidad de la misma y el sector al que pertenece el destinatario de la misma.
                                              A TENER EN CUENTA

Solo se pueden utilizar los datos recogidos para las finalidades que han sido declaradas en la recogida de los datos.

Sanción por no atender derecho de cancelación

En la resolución R/03169/2012 de la AEPD se puede ver la sanción que puede sufrir una organización por no atender adecuadamente el ejercicio de un derecho.

Con fecha 23 de abril de 2011, a la una de la madrugada, en el programa “PROGRAMA.1”, en la cadena de TV CUATRO, producido por PULSO CONTENIDOS INFORMATIVOS, S.L. (en lo sucesivo PULSO), se emitieron las imágenes correspondientes a la enfermedad y al proceso quirúrgico del denunciante.

Dichas imágenes se emitieron por primera vez en la misma cadena y en el mismo programa en enero de 2010, y a la vista de las mismas, el denunciante solicitó a la productora y a la cadena de TV, que no se volvieran a emitir sus imágenes ni en televisión ni en la página web de la cadena, y que se destruyeran.

A pesar de su solicitud, las imágenes se volvieron a emitir, por lo que el denunciante presentó ante la AEPD una reclamación de Tutela de Derechos. En respuesta a ésta, PULSO le informa de que han eliminado todos sus datos de sus ficheros y han remontado íntegramente el programa de TV con objeto de que sus imágenes no se vuelvan a emitir.

Sin embargo, CUATRO TV ha vuelto a emitir las imágenes el 23 de abril de 2011, y también en su página de internet en el programa aparecen imágenes del denunciante. Se aporta un acta notarial de la aparición de las imágenes en internet.

Resultado: Sanción de 3.000€ a la entidad PULSO CONTENIDOS INFORMATIVOS S.L., por no haber atendido adecuadamente una petición de cancelación y que ha provocado una infracción del artículo 16.4 de la LOPD, tipificada como grave.

IMPORTANTE

Hemos de atender en tiempo y forma las peticiones de acceso, rectificación, cancelación y oposición que reciba la organización.

Implantación de microchips en personas

El informe jurídico 0292/2010 de la AEPD resuelve la consulta planteada relativa a la comercialización y utilización de microchips intradérmicos mediante los que se podría incorporar información referente a sus portadores, haciéndose referencia en la consulta a datos relacionados con la identificación del interesado, su número de tarjeta de crédito, localización o información médica.

De dicho informe jurídico se extrae lo siguiente:

  1. La lectura de los mencionados microchips por parte de los usuarios de los servicios que podrán implicar su implantación en los individuos implicará la existencia de un tratamiento de datos de carácter personal.
  2. Con carácter general sea preciso para el tratamiento de los datos derivado de la lectura del microchip el consentimiento del interesado.
  3. El consentimiento no sólo debería verificarse en el momento de la implantación del microchip, sino que además debería concurrir en cada tratamiento relacionado con la lectura de los datos que el mismo pudiera contener, dado que dicha lectura podría llevarse a efecto por distintos sujetos.
  4. Que la implantación del microchip y el posterior tratamiento de los datos deberían únicamente ser admisibles en caso de que el mismo resultase imprescindible para la finalidad perseguida, que lógicamente deberá ser lícita. De este modo, si fuera posible reemplazar la citada implantación por otros medios que permitiesen el tratamiento de los datos necesarios para tal finalidad sin necesidad de emplear métodos invasivos, como por ejemplo mediante la existencia de tarjetas inteligentes, cabría entender que el tratamiento llevado a cabo no se encontraría amparado por la legislación
¿Qué se revisa en la Auditoría de protección de datos?

El objetivo de la auditoría de protección de datos es determinar si son adecuadas y si se cumplen las medidas de seguridad que establece la LOPD.

En la auditoría han re recogerse los siguientes datos:

  1. Relación de ficheros, estructura y contenido.

  2. Políticas de seguridad y procedimientos (registro de incidencias, copias de seguridad, borrado de soportes, etc.).

  3. Documento de Seguridad y auditorías anteriores (si las hubiese).

  4. Diseño físico y lógico de los sistemas de información.

  5. Relación de usuarios, accesos autorizados y sus funciones.

  6. Inventario de soportes y registro de entrada y salida de soportes.

  7. Registros de acceso e informes de revisión de los mismos.

  8. Entrevistas a usuarios y responsables.

  9. Inspección visual.

  10. Formularios de recogida de datos, contratos, etc.

El informe de auditoría

Una vez revisados todos los puntos antes indicados, ha de elaborarse un informe que dictamine sobre la adecuación de las medidas de seguridad, identifique deficiencias y proponga medidas correctoras o complementarias.

Dicho informe deberá quedar a disposición de la AEPD.

A TENER EN CUENTA

El responsable del fichero deberá, en base al informe de auditoría, adoptar las medidas adecuadas para corregir las deficiencias detectadas.