Saltar al contenido principal

Consultas Online

avatar

Consulta formulada por:

Elena Sanz Vázquez

Protección de los datos personales de usuarios para los que desarrollamos actividades

13.05.09

Tenemos varios convenios con Ayuntamientos de la zona rural donde está ubicada nuestra asociación: organizamos y desarrollamos ciertas actividades para ellos, con colectivos de menores y jóvenes. Y para ello, tenemos que manejar datos de estos menores y sus familias.


Yo entiendo que quien tiene obligación de proteger los datos frente a terceros es el Ayuntamiento que nos contrata; pero no sé hasta qué punto nos obliga a nosotros el manejo de estos datos; que por otra parte solo usamos para desarrollar nuestro trabajo.


Tampoco sé si podríamos utilizarlos después para difundirnos o promocionarnos, pues no lo hemos hecho nunca.


Muchas gracias.

Compárte en las redes sociales

Respuestas

avatar
#1

Opinión anónima

13.05.09

Buenos días Elena.

En el caso de que accedáis a datos de carácter personal cuyo responsable es el Ayto, vosotros os encontraríais en la posición del Encargado de Tratamiento que regula la LO 15/1999, siendo el Ayto, Responsable de Fichero.

Este acceso obliga al Responsabe de Fichero (Ayto) a firmar un contrato con vosotros, en el cual se cumplan los requisitos del artículo 12 de la citada Ley: os debe indicar cuáles son las medidas de seguridad que debéis aplicar, así como cuál será el destino de los datos que manejéis una vez finalizado el servicio que prestáis.

Sin embargo, como Organización, estáis igualmente obligados a cumplir con las directrices pertinentes en esta materia, tanto con los datos de vuestro personal, como afiliados, socios, asociados, colaboradores, donantes, etc, así como los datos a los que tengáis acceso.

Recibe un cordial saludo

Analore García Noblia
696747180

avatar
#2

Opinión anónima

13.05.09

Sólo comentar que, además de lo expuesto por Analore, si que debéis tener en cuenta que si vais a hacer uso de esos datos, las personas usuarias de vuestros servicios deben conocer en todo momento que tipo de uso se les van a dar, me explico, si lo que queréis es enviar información adicional, promocionaros, etc., las personas titulares de los datos deben saber que esa información les va a llegar y que tienen sus derechos de ARCO (Acceso, Rectificación, Cancelación y Oposición) debidamente reconocidos y que son ejercitables en cualquier momento.

avatar
#3

Excelente

Aportada por:

Rafael Perez Castillo

Funcionario de la Junta de Andalucí­a. Abogado no ejerciente. Doctorando en Derecho.

Trabaja en:

Asesor particular

13.06.09

Hola Elena: en relación con la consulta planteada, paso a informarte lo siguiente: en línea con las respuestas dadas por mis compañeras de portal Analore y Ruth, cuyos criterios comparto, debo de aludirte a lo referido a este asunto por el Reglamento de Protección de Datos que entró en vigor el día 19 de abril de 2008, el cual viene a completar determinados aspectos de la relación que pudiere existir entre el responsable del fichero y el encargado de tratamiento.
Por consiguiente, la Ley Orgánica de Protección de Datos es aplicable en todas sus vertientes, principalmente, en relación con su artículo 12, el cual establece una serie de obligaciones y deberes para ambas figuras, principalmente, la celebración de un contrato en el que se especifiquen los datos a tratar, la finalidad del tratamiento, las medidas de seguridad a aplicar, la autorización o no para subcontratar servicios y, por ende, el tratamiento de datos personales, la destrucción y/o devolución de los datos una vez concluida la prestación del servicio, etc. El nuevo reglamento lo que viene a realizar es una ampliación y concreción de las obligaciones contempladas en la LOPD, las cuales detallaremos a lo largo del presente.
De otro lado , antes de exponer a exponer las novedades que se han introducido a partir del 19 de abril de 2008, vamos a esbozar la diferencia entre responsable del fichero, encargado de tratamiento y cesión de datos, conceptos diversos pero bastante confusos, que la mayoría de las veces pueden provocar errar en la configuración de la relación a la hora de tratar datos personales.
-El responsable del fichero o tratamiento es la persona jurídica y/o física, privada o pública, que decide sobre el tratamiento de los datos, es decir, toma decisiones sobre qué hacer con los mismos, es el responsable desde que el dato entra a formar parte del sistema de información hasta la eliminación del mismo, es el responsable durante toda la “vida” del dato.
-El encargado de tratamiento, al igual que el responsable del fichero, es la persona jurídica y/o física, privada o pública, que trata los datos del responsable del fichero con la finalidad de prestar un determinado servicio a aquel. El nuevo Reglamento de Protección de Datos Personales, en aras a salvaguardar la seguridad, no sólo de los datos sino de los sistemas de información que tratan los mismos, ha pretendido que se engloben dentro del presente concepto aquellas personas que, sin tratar datos personales, prestan un determinado servicio que para su desarrollo efectivo precisan acceder a las instalaciones donde se encuentran los recursos que tratan datos personales.
En consecuencia, el encargado de tratamiento, puede asumir esta figura además de la de responsable del fichero sobre los datos que son recabados y tratados por él mismo.
-La cesión de datos es la actuación por la que dos responsables del fichero deciden traspasarse o tener acceso a los datos de ambos o de uno solo, para finalidades diferentes a lo que es una prestación de servicio. Por ejemplo, comunicarse datos para efectuar una base de datos conjunta sobre potenciales clientes para lanzar una promoción comercial o dos administraciones públicas de distinto rango competencial que deciden acceder o disponer de datos de aquella para una finalidad concreta.

avatar
#4

Excelente

Aportada por:

Rafael Perez Castillo

Funcionario de la Junta de Andalucí­a. Abogado no ejerciente. Doctorando en Derecho.

Trabaja en:

Asesor particular

13.06.09

Una vez efectuada la diferenciación entre las diversas figuras y/o actuaciones, comenzaremos a exponer las novedades sobre la actuación del encargado de tratamiento, significando, de entrada,, que las obligaciones contempladas en la Ley Orgánica de Protección de Datos siguen vigentes.
El nuevo reglamento viene a diferenciar lo que es la comunicación de datos —cesión de datos— del encargo o prestación de un servicio, produciéndose la primera “cuando el acceso tenga por objeto el establecimiento de un nuevo vínculo entre quien accede y el afectado.”, con las siguientes novedades:
- La obligación de que el encargado de tratamiento esté adaptado a la normativa de protección de datos para poder tratar datos personales del responsable del fichero. El nuevo reglamento alude a que el responsable del fichero deberá “velar para que el encargado de tratamiento cumpla con las garantías” exigidas por la normativa al efecto. Esto puede significar una restricción a la hora de escoger o contratar el servicio y, por tanto, una restricción a la libertad de empresa. Así mismo, bajo nuestro entender, impone la obligación de que, al menos, se contemple en el contrato de prestación de servicios la presunción de que la empresa que se convierta en encargado de tratamiento, se encuentre adaptada a la normativa de protección de datos, imponiendo la prueba en caso de sanción a dicho prestador de servicios.

avatar
#5

Excelente

Aportada por:

Rafael Perez Castillo

Funcionario de la Junta de Andalucí­a. Abogado no ejerciente. Doctorando en Derecho.

Trabaja en:

Asesor particular

13.06.09

La asunción de responsabilidad, por parte del encargado de tratamiento, cuando incumpla las obligaciones y deberes previstos en la normativa de protección de datos, siempre y cuando esté suscrito el contrato por el cual se determinan aquellas.
-El nuevo reglamento explícitamente permite la subcontratación en cascada, es decir, que un determinado servicio junto con los datos necesarios para poder desarrollar aquel puede ser prestado por dos o más entidades, siempre y cuando haya autorización expresa del responsable del fichero y cumpliendo con las exigencias de la normativa al efecto. Así mismo, se exige que el encargado de tratamiento y el subcontratista —segundo, tercero, etc. encargado de tratamiento— suscriban un contrato en los términos fijados por el artículo 12 LOPD.
-La imposición al encargado de tratamiento del bloqueo de los datos que haya tratado por si se produjere alguna responsabilidad derivada de la relación mantenida con el responsable del fichero. Dicho bloqueo cesará cuando se cumpla el plazo de prescripción establecido al efecto para reclamar la responsabilidad que pudiere haberse acaecido. Así mismo, cuando se prevea la devolución de los datos al responsable del fichero, una vez finalizado el servicio contratado, además del bloqueo de los datos por parte del encargado de tratamiento, el responsable del fichero deberá mantener los datos, es decir, conservarlos en deferencia a alguna previsión legal.
-El encargado de tratamiento puede efectuar, en nombre del responsable del fichero, el proceso de atender los derechos reconocidos a los afectados —acceso, cancelación, oposición y rectificación—. No especifica el nuevo reglamento que deba expresarse esta opción por escrito, pero bajo nuestro entender, el mismo debe reflejarse en el consiguiente contrato de prestación de servicio y de encargado de tratamiento.
- Las medidas de seguridad a implantar por parte de las dos figuras intervinientes, distinguiendo dos situaciones, a saber:
-Si el encargado de tratamiento va a tener acceso o tratar los datos del responsable del fichero en los locales de éste, bien físicamente en las instalaciones del responsable, bien vía remota. En este caso, el responsable debe proceder a indicarlo en el Documento de Seguridad y debe dar pautas al personal del encargado de tratamiento para que siga las instrucciones impuestas por el responsable del fichero.
- La situación expuesta al inicio del presente artículo, aquellos encargados de tratamiento que no tienen acceso a la información y/o al tratamiento, pero que por el contrario acceden a las instalaciones donde se encuentra sitos los recursos y/o sistema de información del responsable del fichero. En este caso, debe exigirse la prohibición de acceso a los datos e información y la obligación del deber de secreto sobre aquellos.
Por último, se permite que el encargado de tratamiento posea el Documento de Seguridad y las medidas a implementar y a aplicar cuando la mayor parte del tratamiento de datos la efectúe aquel. Estas medidas están pensadas sobre todo para la actividad que desarrollan los administradores de fincas respecto a comunidades de propietarios, empresas matrices y filiales que disponen del mismo sistema de información, etc. De todas formas, todas estas consideraciones han de ser reflejadas en el consiguiente contrato.
Un cordial saludo y buena suerte.
Rafael Pérez Castillo.
rperezcastillo@gmail.com

solucionesong.org
Un proyecto de