Consultas Online
Consulta formulada por:
Si un miembro de la Junta pide por su cuenta datos de los socios, ¿está infringiendo la Ley de Protección de Datos?
21.07.15
Hola,
Trabajo para una asociación sin ánimo de lucro que trabaja en atención a pacientes con dolencias médicas. Hace unos años teníamos una empresa que nos llevaba todo el tema de protección de datos, pero con la disminución de subvenciones hubo que hacer recortes y se despidió a mucha gente.
Sin embargo, con la renovación de la Junta Directiva han entrado nuevos miembros y, aunque en su día, todos firmaron el acuerdo de confidencialidad, uno de ellos se dirigió al trabajador que está en contacto con los socios y le requirió el libro sonde figuran todos los datos personales de los socios (nombre, diagnóstico, trámites solicitados y gestiones recibidas).
Si se le da ese libro con todos los datos que pide, ¿se está infringiendo la Ley de Protección de Datos? En caso afirmativo, ¿cómo se los comunicamos a la Junta Directiva y a los miembros que pidan datos por su cuenta?
Gracias
Respuestas
Opinión anónima
21.07.15
Buenas tardes,
no necesariamente; lo primero que deben hacer es revisar qué derechos ostenta un asociado frente a la asociación y cuál es el alcance de los mismos tanto en la Ley Orgánica 1/2002, de 22 de marzo, reguladora del Derecho de Asociación, como si la hubiere en la legislación autonómica correspondiente, y también en los propios estatutos de la asociación, con el fin de valorar si es o no posible facilitar la información solicitada y, en caso afirmativo, en qué medida.
Téngase presente que el tratamiento de datos personales relativos a la salud de las personas requiere la obtención del consentimiento por escrito, previo y suficientemente informado, del afectado/interesado.
Saludos,
Aportada por:
Funcionario de la Junta de Andalucía. Abogado no ejerciente. Doctorando en Derecho.
Trabaja en:
Asesor particular
21.07.15
En relación con la consulta planteada, paso a informarles lo siguiente: en primer lugar, la cuestión que nos trasladan estriba en si uno de los miembros del órgano de representación puede acceder a los datos de los socios, tales como nombre diagnóstico, trámites solicitados y gestiones recibidas, así como para el caso de que se accediera a la pretensión de dicho miembro de la junta directiva, si se estuviera infringiendo la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Caracter Personal, y, en caso afirmativo, cómo se comunica ello a los miembros de la junta directiva.
Al respecto, debe señalarse que los los artículos 1 y 2 de la Ley Orgánica 15/1999, extienden su protección a los derechos de los ciudadanos en lo que se refiere al tratamiento de sus datos de carácter personal, siendo definidos éstos en el artículo 3.a) de la citada Ley como “cualquier información concerniente a personas físicas identificadas o identificables“.
Por consiguiente, será de aplicación el régimen contenido en dicha Ley Orgánica, en la medida en que la documentación a la que se pretende tener acceso contenga datos de carácter personal en los términos definidos por el artículo 3.a) antes transcrito.
De este modo cabe indicar que la comunicación de los datos personales que pudieran contenerse en la documentación a que hace referencia la consulta constituye una cesión de datos, definida por el artículo 3 i) de la Ley Orgánica 15/1999 como “Toda revelación de datos realizada a una persona distinta del interesado”.
Tal cesión debe sujetarse al régimen general de comunicación de datos de carácter personal establecido en el artículo 11 de dicho texto legal, donde se establece que la misma solo puede verificarse para el cumplimiento de fines directamente relacionados con las funciones legitimas del cedente y cesionario y exige, para que pueda tener lugar, el consentimiento del interesado (artículo 11.1), otorgado con carácter previo a la cesión y suficientemente informado de la finalidad a que se destinarán los datos cuya comunicación se autoriza o el tipo de actividad de aquél a quien se pretenden comunicar (artículo 11.3), y que debe recabar el cedente como responsable del fichero que contiene los datos que se pretenden ceder.
No obstante, será posible la cesión sin contar con el consentimiento del interesado en lo supuestos en que la misma se encuentre amparada por alguna de las excepciones establecidas en el número segundo del artículo 11 que, a los efectos que aquí interesan, quedan limitadas a la prevista en su letra c), esto es, como dispone dicho precepto “Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique.”
En este sentido, con caracter general, la Agencia Española de Protección de Datos ha señalado de forma reiterada que la comunicación a los asociados de los datos de carácter personal de los demás asociados, será posible en la medida en que la misma se encuentre expresamente prevista en los Estatutos de la Asociación, dado que sólo en ese caso sería posible entender dicha cesión amparada en el artículo 11.2 c) de la Ley Orgánica 15/1999, única norma que podría invocarse como legitimadora del tratamiento de los datos sin contar con el consentimiento de los propios asociados.
Debe, en este sentido, recordarse que la fundamentación en que la Agencia ha justificado la comunicación de datos en estos supuestos se basa en el hecho de que el asociado por el hecho de adquirir tal condición deberá conocer y aceptar los Estatutos, de modo que será posible considerar que su incorporación a la asociación implica la creación de una relación jurídica entre aquél y ésta, cuyos términos serán fijados por los propios Estatutos. De este modo, el uso de los datos derivado de tal relación quedará delimitado por la finalidad que se haya previsto a tal efecto en los Estatutos.
Por consiguiente, habrá que estar a lo previsto en los Estatutos de la entidad asociativa, de manera que siempre y cuando en ellos se contenga una cláusula que permita a sus miembros acceder a la documentación obrante en la Asociación, la comunicación de los datos relativos a otros socios que en ella consten será conforme a lo previsto en la Ley Orgánica 15/1999. No obstante, teniendo en cuenta que dicha comunicación de datos se ampara en lo previsto en el artículo 11.2.c de la Ley Orgánica 15/1999 no alcanza a terceras personas cuya relación con la consultante no esté fundamentada en la aceptación de los Estatutos de la asociación, por lo que quedarían excluidos los datos relativos a nóminas y contratos de los trabajadores del consultante y cualquier otro documento en el que se contengan datos de personas físicas distintas de los socios.
En el caso de que la comunicación de datos fuese posible conforme a lo anteriormente señalado, debe recordarse que el artículo 4.1 de la Ley Orgánica 15/1999 dispone que “Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido”, añadiendo el artículo 4.2 de la meritada Ley que “Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos”. Debe aclararse aquí que la Audiencia Nacional partiendo de una interpretación sistemática de este precepto viene considerando la expresión “finalidades incompatibles” como sinónimo de “finalidades distintas”.
Ello implica que los miembros de una asociación a los que se efectúa la comunicación de datos únicamente podrán utilizar éstos para la finalidad que justificadamente se contenga en la solicitud realizada, finalidad que conforme se ha señalado debe ser determinada, explicita y legítima, de este modo si se produjese un uso de los datos para finalidades distintas a aquélla para la cual fueron solicitados, el socio que la hubiera utilizado respondería directamente ante la Agencia Española de Protección de Datos.
Sentado lo anterior, la cuestión se complica cuando entre los datos personales aparece diagnósticos médicos, lo cual conlleva traer a colación lo referido en el artículo 5. 1. g) del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, los datos de carácter personal relacionados con la salud son “las informaciones concernientes a la salud pasada, presente y futura, física o mental, de un individuo. En particular, se consideran datos relacionados con la salud de las personas los referidos a su porcentaje de discapacidad y a su información genética”.
De esta suerte, si en los datos personales de los socios aparece cualquier información concerniente a su salud física o mental, pasada, presenta o futura, de suyo, con independencia de lo que establecieran los estatutos de la asociación, debe de tenerse en cuenta que el artículo 7.1. de la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica, establece “que toda persona tiene derecho a que se respete el carácter confidencial de los datos referentes a su salud, y a que nadie pueda acceder a ellos sin previa autorización amparada por la Ley”.
En suma, en el supuesto objeto de consulta se exige siempre el consentimiento del interesado y el cumplimiento de unas determinadas medidas de seguridad. Hay que tener en cuenta el artículo 7 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, el cual establece entre los datos especialmente protegidos:
«Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una ley o el afectado consienta expresamente.»
Por su parte el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, en su artículo 10, regula los supuestos que legitiman el tratamiento o cesión de datos:
«1. Los datos de carácter personal únicamente podrán ser objeto de tratamiento o cesión si el interesado hubiera prestado previamente su consentimiento para ello.
2. No obstante, será posible el tratamiento o la cesión de los datos de carácter personal sin necesidad del consentimiento del interesado cuando:
a) Lo autorice una norma con rango de ley o una norma de derecho comunitario y, en particular, cuando concurra uno de los supuestos siguientes:
El tratamiento o la cesión tengan por objeto la satisfacción de un interés legítimo del responsable del tratamiento o del cesionario amparado por dichas normas, siempre que no prevalezca el interés o los derechos y libertades fundamentales de los interesados previstos en el artículo 1 de la Ley Orgánica 15/1999, de 13 de diciembre.
El tratamiento o la cesión de los datos sean necesarios para que el responsable del tratamiento cumpla un deber que le imponga una de dichas normas.
b) Los datos objeto de tratamiento o de cesión figuren en fuentes accesibles al público y el responsable del fichero, o el tercero a quien se comuniquen los datos, tenga un interés legítimo para su tratamiento o conocimiento, siempre que no se vulneren los derechos y libertades fundamentales del interesado.
No obstante, las Administraciones públicas sólo podrán comunicar al amparo de este apartado los datos recogidos de fuentes accesibles al público a responsables de ficheros de titularidad privada cuando se encuentren autorizadas para ello por una norma con rango de ley.
3. Los datos de carácter personal podrán tratarse sin necesidad del consentimiento del interesado cuando:
a) Se recojan para el ejercicio de las funciones propias de las Administraciones públicas en el ámbito de las competencias que les atribuya una norma con rango de ley o una norma de derecho comunitario.
b) Se recaben por el responsable del tratamiento con ocasión de la celebración de un contrato o precontrato o de la existencia de una relación negocial, laboral o administrativa de la que sea parte el afectado y sean necesarios para su mantenimiento o cumplimiento.
c) El tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del apartado 6 del artículo 7 de la Ley Orgánica 15/1999, de 13 de diciembre.
4. Será posible la cesión de los datos de carácter personal sin contar con el consentimiento del interesado cuando:
a) La cesión responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control comporte la comunicación de los datos. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique.
b) La comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas o a las instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas y se realice en el ámbito de las funciones que la ley les atribuya expresamente.
c) La cesión entre Administraciones públicas cuando concurra uno de los siguientes supuestos:
Tenga por objeto el tratamiento de los datos con fines históricos, estadísticos o científicos.
Los datos de carácter personal hayan sido recogidos o elaborados por una Administración pública con destino a otra.
La comunicación se realice para el ejercicio de competencias idénticas o que versen sobre las mismas materias.
5. Los datos especialmente protegidos podrán tratarse y cederse en los términos previstos en los artículos 7 y 8 de la Ley Orgánica 15/1999, de 13 de diciembre.
En particular, no será necesario el consentimiento del interesado para la comunicación de datos personales sobre la salud, incluso a través de medios electrónicos, entre organismos, centros y servicios del Sistema Nacional de Salud cuando se realice para la atención sanitaria de las personas, conforme a lo dispuesto en el Capítulo V de la Ley 16/2003, de 28 de mayo, de cohesión y calidad del Sistema Nacional de Salud.»
Por todo ello, realizar la cesión de datos personales de socios conteniendo información relativa a su salud SIN CONTAR CON SU CONSENTIMIENTO puede generar responsabilidad y la imposición de una sanción muy grave por la Agencia Española de Protección de Datos de lo que debería darse traslao al resto de miembro del órgano de representación de vuestra asociación, precisamente, por la circunstancia de que los datos de salud son datos especialmente protegidos y esa circusntancia genera el agravamiento de la sanción.
Espero haberles ayudado.
Cordialmente.
Rafael Pérez Castillo.
rperezcastillo@gmail.com
Opinión anónima
22.07.15
Necesito responder a Manuel de Prodat, los Estatutos no hacen mención a la cuestión de solicitar datos, pué los estatuos datan de una fecha muy anterior a la Ley de protección de Datos.
Lo que me queda claro es que tienen que definir la finalidad y pedir el consentimiento expreso de los socios. Supongo que también debe pasar el consentimieno por Junta, porque es el órgano de Gobierno y todas las actividades que se relalicen deben pasar por ella.
Gracias, Manuel.
Mª José.
Aportada por:
Diseñador y consultor de proyectos de cooperación
Trabaja en:
Asesor particular
22.07.15
Hola,
Coincido con Rafael en sus criterios y aspectos mencionados y con Manuel en su referencia estatutaria.
Paralelamente cabe plantearse qué intención o necesidad tiene el citado miembro de la nueva Junta en hacer uso del libro de socios a menos que sea para velar por el libro. El marco legal es muy claro, vale la pena analizar qué aspectos de los estatutos de vuestra entidad estipulan este aspecto, es decir: derechos y obligaciones de los miembros de la Junta, ese es el aspecto clave.
En síntesis, si la ley nos marca como dice la Agencia de Protección de Datos que la comunicación a los asociados de los datos personales de los demás asociados, sólo será posible en la medida en que la misma se encuentre expresamente prevista y explicitada en los Estatutos de la Asociación. Por eso los estatutos tienen la clave en su consulta. Y el último aspecto derechos y obligaciones de los miembros de la Junta: ¿entra dentro de la casuística que se ha dado en su entidad?
Esperamos haberle ayudado. Si necesita nuevas aclaraciones no dude en explicitar todo detalle que crea relevante.
Un saludo estival,
Marc Masmiquel
@marcmasmiquel