Consultas Online
Consulta formulada por:
¿Hay algún documento oficial sobre privacidad de datos y derecho de imagen?
01.03.14
Hola,
Hay algún documento oficial sobre privacidad de datos y derecho de imagen?. Queremos elaborar uno para nuestra ONG y les agradeceríamos que si hay alguno no lo facilitasen.
Gracias
Respuestas
Aportada por:
Teresa Ferraz Hermoso de Mendoza
Abogada
Trabaja en:
Asesor particular
03.03.14
Hola Isidro,
No se exactamente a que documento te refieres ya que hay diversos en función de para que lo quieras, p ejemplo de cesion de datos, de aplicación de los derechos ARCO, ...
Además existe el documento de seguridad que toda empresa debe de tener. Te adjunto link del mismo
https://www.agpd.es/portalwebAGPD/canalresponsable/guia_documento/index-ides-idphp.php
Y a las guías de la AEPD
http://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/index-ides-idphp.php
De todas formas documento oficial como tal no existe, hay modelos y lo más importante es que se garantice la normativa sobre protección de datos
Un saludo
Teresa Ferraz
Respuesta del participante:
03.03.14
Gracias Teresa, nos interesa un modelo para cesión de datos de las personas que vienen a T’Acompanyem (Asociación que ayuda a personas en situación de desempleo).
Un saludo
Isidro
Aportada por:
Funcionario de la Junta de Andalucía. Abogado no ejerciente. Doctorando en Derecho.
Trabaja en:
Asesor particular
03.03.14
Estimado Isidro: en relación con la consulta planteada, paso a informarle lo siguiente: inicialmente, la cesión de datos, si la misma comporta identificación de concretas personas físicas constituye una comunicación de datos de carácter personal, definida en el artículo 3, i) de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos Personales –en adelante,LOPD-, como “toda revelación de datos realizada a persona distinta del interesado”. Esta definición establecida por la LOPD es muy amplia, puesto que revelación recoge tanto la entrega, comunicación, consulta, interconexión, transferencia, difusión o cualquier otra forma que facilite el acceso a los datos de un fichero a un tercero, distinto del interesado.
En cuanto a los requisitos necesarios para la cesión de datos, se establecen dos requisitos iniciales y concurrentes que deberán darse en toda cesión:
1º.- Que sólo será posible la cesión de los datos para el cumplimiento de fines directamente relacionados con las funciones de cedente y cesionario. Este es el principal punto de interés, puesto que la LOPD pretende evitar que se realicen cesiones por cualquier motivo, caprichosas, superficiales o que tengan poco o nada que ver con el ámbito de las funciones, atribuciones o competencias de la empresa cedente y la empresa cesionaria.
Por ejemplo, si nos encontramos con una Administración de Fincas Urbanas no cabría la cesión de datos de sus clientes a otra empresa que se dedicase a la venta de bicicletas. Siempre debe existir una conexión entre las actividades y fines de la comunicación de las empresas cedente y cesionaria.
2º.- El previo consentimiento informado del interesado; es decir, que antes de proceder a la cesión hemos de recabar el consentimiento informado del interesado para efectuar la cesión de sus datos, informándole de:
a)Identificación, actividad y dirección del cesionario.
b)Finalidad a la cual se destinarán los datos cedidos.
Además, el art.27 de la LOPD referente a la comunicación de la cesión de datos en los ficheros de titularidad privada, establece la obligación al cedente responsable del fichero a informar a los afectados, en el momento en que se efectúe la cesión de los datos al cesionario, de:
a)La identidad y dirección del cesionario,
b)La naturaleza de los datos cedidos,
c)La finalidad del fichero.
Con esta comunicación la LOPD pretende que se informe al interesado del momento en que se produce efectivamente la cesión de sus datos, pudiendo contrastar de esa forma que se han cumplido los requisitos, finalidad, tipología de datos cedidos, etc…, a la que él, el interesado, previamente había dado su consentimiento.
No será necesario proporcionar esta información al interesado cuando resulte imposible o exija esfuerzos desproporcionados a criterio de la Agencia Española de Protección de Datos, en consideración al número de interesados, a la antigüedad de los datos y a las posibles medidas compensatorias.
De otra parte, laa LOPD establece supuestos tasados en los que no será preceptivo informar y recabar el consentimiento previo de los interesados para ceder los datos. Estos supuestos son:
1º.- Cuando la cesión esté autorizada por una Ley. Así encontramos supuestos en los que están permitidas las cesiones de datos como en la Ley General Tributaria y en la Ley de Enjuiciamiento Civil.
2º.- Cuando se trate de datos recogidos de fuentes accesibles al público, siempre que el tratamiento de los datos sea necesario para la satisfacción del interés legítimo perseguido por el cedente o por el cesionario y se respeten los derechos de los interesados.
Dentro de este supuesto encontramos los casos de venta de bases de datos; bases de datos que se adquieren a empresas especializadas, principalmente para realizar acciones de publicidad o prospección comercial, que han obtenido los datos de fuentes accesibles al público.
El cesionario que utilice estas bases de datos para acciones de publicidad y prospección comercial deberá informar al interesado, en cada comunicación que le realice, del origen de los datos y de la identidad del cesionario, así como los derechos que le asisten.
3º.- Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique.
Este el supuesto de cesión de datos más habitual y común; la cesión no necesitará de consentimiento previo del interesado porque la misma se realiza en su beneficio, en cuanto que si no pudiera realizarse dicha comunicación o conexión con ficheros de terceros, se imposibilitaría el desarrollo de la relación jurídica (negocial, contractual, laboral, administrativa, etc..) que media entre el responsable del fichero y el interesado.
Por ello, la ley establece que la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique.
4º.- Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco será preciso el consentimiento cuando la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas.
5º.- Cuando la cesión se produzca entre Administraciones Públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos y científicos. Además, no se permiten por ley las cesiones de datos entre distintas Administraciones Públicas para el ejercicio de competencias diferentes o para fines distintos a los que motivaron la recogida de los datos.
6º.- Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica.
Asimismo, la LOPD stablece la ley que será nulo el consentimiento para la cesión, cuando la información que se facilita al interesado no le permita conocer la finalidad a que se destinarán los datos cuya comunicación se autoriza o el tipo de actividad de aquel a quien se pretenden comunicar.
La LOPD persigue, por tanto, que el interesado otorgue su consentimiento a la cesión con pleno conocimiento de quién es el destinatario de la misma, cuál es su actividad y para qué finalidad va a utilizar sus datos.
De igual forma, el consentimiento siempre es revocable, pero no tendrá efectos retroactivos a las cesiones que se realizaron mientras el consentimiento estaba activo.
Igualmente, la LOPD permite que se cedan los datos que previamente hayan sido disociados. Así, la información que se obtenga del tratamiento de los datos disociados no pueda asociarse a persona determinada o determinable.
Con todo lo anterior, resta señalar que el cedente se obliga a informar al interesado en dos momentos, salvo que entren en juego las excepciones fijadas expresamente por la LOPD en los arts.11.2 y 27.2:
1º.- En el momento de la recogida de los datos, donde deberá recabar el previo consentimiento informado para la cesión de los datos.
2º.- En el momento de proceder a la cesión efectiva de los datos, deberá comunicarle al interesado los datos del cesionario, finalidad del fichero y datos que han sido cedidos.
Al respecto, la LOPD establece que el cesionario, por el sólo hecho de la cesión, se obliga a cumplir con todas las obligaciones y derechos dispuestos en la LOPD. Por ello, en la primera comunicación que dirija al interesado, deberá informarle de forma expresa, precisa e inequívoca de:
a)Procedencia de los datos.
b)Su incorporación a un fichero.
c)Finalidad del tratamiento.
d)Derechos que puede ejercitar (acceso, rectificación, cancelación y oposición).
e)Datos identificativos y dirección.
Por último, le remito en archivo pdf, un Documento de Consentimiento de Cesión de Datos Personales.
Espero haberle ayudado.
Cordialmente.
Rafael Pérez Castillo.
Rperezcastillo@gmail.com
Esta aportación tiene un documento que la complementa. ¡Descárgalo!
Aportada por:
Teresa Ferraz Hermoso de Mendoza
Abogada
Trabaja en:
Asesor particular
03.03.14
Hola de nuevo,
Como ya el compañero te ha anexado un documento, haré unas precisiones de la cesión, cuando se exige consentimiento expreso o no, los datos especialmente protegidos etc…
El responsable del fichero debe controlar y autorizar las comunicaciones o cesiones de datos personales a terceros a fin de que las mismas se realicen de acuerdo con la ley.
La cesión o comunicación de datos es un tratamiento de datos que supone revelarlos a una persona diferente del titular de los datos (es un acceso a la información por parte de un tercero, siempre que éste no tenga la consideración de encargado del tratamiento).
Cómo tiene que ser el consentimiento y en qué casos no es necesario solicitarlo
A) Si es para ceder datos personales que no tienen la consideración de sensibles o especialmente protegidos
Por ejemplo, nombre, apellidos, DNI, dirección postal y electrónica, número de teléfono, características físicas, voz, fotografías u otras imágenes.
Es necesario el consentimiento inequívoco: cualquier acción u omisión que muestre que se ha consentido (salvo que no haga falta de acuerdo con lo que dispone la ley).
Casos en los que no es necesario el consentimiento:
Cuando la cesión esté autorizada en una ley.
Cuando la cesión tenga lugar entre Administraciones públicas en alguno de los casos siguientes:
Que el objeto de la cesión sea el tratamiento de los datos con finalidades históricas, estadísticas o científicas.
Que los datos personales hayan sido recogidos o elaborados por una Administración pública con destino a otra Administración pública.
Que la comunicación se lleve a cabo para el ejercicio de competencias idénticas o que se refieran a las mismas materias.
Cuando los datos se recojan de fuentes accesibles al público y el responsable del fichero o el tercero a quien se comuniquen los datos tenga un interés legítimo para tratarlos o saberlos, siempre que no se vulneren los derechos y las libertades fundamentales de la persona. Las Administraciones públicas sólo pueden comunicar datos recogidos de fuentes accesibles al público a responsables de ficheros de titularidad privada cuando lo autorice una ley.
Cuando la cesión responda a la libre y legítima aceptación de una relación jurídica que comporte la comunicación de los datos (que comporte la conexión del tratamiento con ficheros de terceros). La comunicación sólo es legítima si se limita a la finalidad que la justifica.
Cuando la comunicación se dirija al Defensor del Pueblo o al Síndic de Greuges, al Ministerio Fiscal, a los jueces y tribunales o al Tribunal de Cuentas o la Sindicatura de Cuentas, siempre que la comunicación se lleve a cabo en el ámbito de las funciones que la ley les atribuye expresamente.
Cuando los datos personales sean recogidos y tratados por la policía para prevenir un peligro real, para garantizar la seguridad pública o para reprimir infracciones penales.
B) Si es para ceder datos personales que tienen la consideración de sensibles o especialmente protegidos
1) Si hacen referencia al origen racial o étnico, la salud y la vida sexual
Es necesario el consentimiento expreso (salvo que no haga falta de acuerdo con lo que dispone la ley).
Casos en los que no es necesario el consentimiento:
Cuando por razones de interés general así lo disponga una ley.
Cuando el tratamiento sea necesario:
Para llevar a cabo la prevención o el diagnóstico médicos, la prestación de asistencia sanitaria o de tratamientos médicos o la gestión de servicios sanitarios, siempre que los haga un profesional sanitario sujeto al secreto profesional u otra persona sujeta a una obligación equivalente de secreto.
Para salvaguardar el interés vital de la persona afectada o de otra persona, en caso de que la persona afectada esté física o jurídicamente incapacitada para dar el consentimiento.
Cuando los datos personales sean recogidos y tratados por la policía y exclusivamente en los casos en que sea absolutamente necesario para las finalidades de una investigación concreta.
Respecto a los datos de salud, además: para solucionar una urgencia que requiera acceder a un fichero o para hacer estudios epidemiológicos.
2) Si revelan la ideología, la afiliación sindical, la religión y las creencias
Es necesario el consentimiento expreso y por escrito.
Casos en los que no es necesario el consentimiento:
Cuando los datos personales sean recogidos y tratados por la policía y exclusivamente en los casos en que sea absolutamente necesario para las finalidades de una investigación concreta.
Cómo hay que solicitar y obtener el consentimiento, y posibilidad de revocarlo
Cómo hay que solicitarlo:
En los casos en que sea suficiente el consentimiento inequívoco, hay que dar treinta días a la persona a quien se solicita, para que se pueda oponer al tratamiento, y hay que advertirla de que, si no dice nada, se entiende que consiente. Hay que facilitarle un medio sencillo y gratuito para hacerlo, como, por ejemplo, un envío prefranqueado al responsable del tratamiento, una llamada a un número de teléfono gratuito o a través del servicio de atención al público. Esta información debe ser claramente visible, y si hay constancia de que la comunicación se ha devuelto, no se puede hacer el tratamiento. No se puede solicitar el consentimiento siguiendo este procedimiento respecto a los mismos tratamientos y finalidades en intervalos inferiores a un año.
Cómo hay que obtenerlo:
Si son menores de 14 años, hay que solicitar el consentimiento a los padres o tutores. A los menores sólo se les puede pedir el nombre y los apellidos, y la dirección de los padres o tutores para solicitarles el consentimiento.
Si son mayores de 14 años, pueden consentir por sí mismos, salvo que una ley disponga lo contrario. Hay que utilizar un lenguaje sencillo y no se les puede pedir información sobre los otros miembros de la familia, ni referente a la profesión ni de tipo económico.
La solicitud del consentimiento tiene que hacer referencia a uno o varios tratamientos concretos, y debe determinar la finalidad para la que se pide y las condiciones del tratamiento o los tratamientos. En la cesión, además, hay que hacer referencia al tipo de actividad del tercero (si no, el consentimiento es nulo).
Si en el marco de una relación contractual se quiere solicitar el consentimiento para tratar y comunicar los datos con una finalidad que no esté relacionada directamente con esta relación contractual, hay que permitir que la persona pueda manifestar expresamente su negativa al tratamiento. Por ejemplo, se puede incluir en el propio contrato una casilla claramente visible y que no esté ya marcada.
Cómo se puede revocar:
Consultar el apartado Derecho a revocar el consentimiento.
Requisitos, además del consentimiento, para ceder datos personales
Hay que acreditar que la comunicación de los datos es para llevar a cabo finalidades directamente relacionadas con las funciones legítimas de quien los cede y de quien los recibe. Este interés legítimo del responsable o del cesionario no puede vulnerar el interés o los derechos y las libertades fundamentales de la persona.
Casos en los que no es necesario aplicar la normativa de protección de datos en la cesión de información
En los casos en que sea posible llevar a cabo la finalidad de la comunicación anonimizando o disociando la información, de modo que no se puedan relacionar los datos con una persona física en concreto, hay que hacerlo así y no es necesario tener en cuenta lo establecido en la normativa de protección de datos.
Un saludo
Teresa Ferraz
Aportada por:
Teresa Ferraz Hermoso de Mendoza
Abogada
Trabaja en:
Asesor particular
03.03.14
Hola,
He encontrado una serie de modelos cedidos gratuitamente de INTECO que pueden ser de vuestra utilidad
http://www.inteco.es/file/7oHpwJQl5u25f1Ez5MwRMA
Un cordial saludo
Teresa Ferraz