El creciente volumen de información generada por el sector público, con la potencialidad que le otorga el desarrollo de la sociedad de la información, favorece su reutilización para la provisión de nuevos productos y servicios.

La Agencia Española de Protección de Datos (en adelante AEPD), elaboró en su día unas orientaciones sobre la reutilización de la información del sector público con la finalidad de facilitar criterios que contribuyan de una manera equilibrada a favorecer la reutilización de la información pública minimizando los riesgos que sobre el derecho a la protección de datos personales pueda implicar para los ciudadanos.

Ahora bien, en la misma línea y al hilo de lo anteriormente expuesto, la AEPD publicó recientemente un informe en respuesta a la consulta planteada como consecuencia de la puesta en marcha del programa de ACCESO A FONDOS DOCUMENTALES Y OBRAS (ATOPO), por la Diputación de Pontevedra.

¿En qué consiste el Programa ATOPO?

La ejecución del programa ATOPO, supone la publicación y por tanto el acceso de los ciudadanos- a información proveniente de diversas fuentes, tales como repositorio de colecciones y fondos documentales, bibliográficos, cartográficos y audiovisuales, depositados en el Museo de Pontevedra, en el Servicio de Patrimonio Documental y Bibliográfico, e incluso procedentes (a través de los correspondientes convenios), de los archivos municipales y de otras instituciones, públicas o privadas, de la provincia.

A través de este programa se pretende facilitar el acceso de modo universal, directo, sin identificación ni autorización, previa definición de los límites y condiciones de otras normativas aplicables entre las que se encuentra la de protección de datos personales.

Como punto de partida, acudiendo a la definición de tratamiento de datos personales del art. 4.2 del RGPD podemos considerar la existencia de tratamiento de datos personales en la ejecución del programa ATOPO.

Por tanto, una vez determinada la existencia del tratamiento debemos hacernos la siguiente pregunta:

¿Cuáles podrían ser las bases de legitimación del tratamiento del programa ATOPO? 

Publicado en Blog

El derecho de acceso se puede definir como aquel que tienen las personas a obtener información sobre el tratamiento de sus datos personales. Se trata por tanto de un derecho personalísimo, que solo puede ser ejercitado el propio interesado y cuyo ejercicio queda previsto tanto en el artículo 15 del Reglamento General Europeo de Protección de Datos (RGPD) como en el artículo 13 de la Ley Orgánica 3/2018 de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD).

Ahora bien, ¿se puede tener acceso a los datos de los fallecidos?

Sobre esta cuestión, se ha pronunciado recientemente la Agencia Vasca de Protección de Datos (AVPD), en su Dictamen N.º D19-008.

En primer lugar, tal y como ya hemos comentado en alguna ocasión en este blog (ver aquí), los tratamientos de datos de las personas fallecidas están fuera del ámbito de aplicación de la normativa de protección de datos de carácter personal.  Esto es así en virtud del artículo 32 del Código Civil por el cual el fallecimiento de una persona determina la extinción de su personalidad civil, y dicha exclusión se recoge en el Considerando 27 del RGPD y en el artículo 2 de la LOPDGDD.

En esta misma línea cabe citar la Sentencia del Tribunal Constitucional 292/2000 de 30 de noviembre, en la que afirma que, “si el derecho fundamental a la protección de datos ha de ser considerado como el derecho del individuo a decidir sobre la posibilidad de que un tercero pueda conocer y tratar la información que le es propia, es evidente que dicho derecho desaparece por la muerte de las personas, porque los tratamientos de datos personas fallecidas no podrían considerarse comprendidos dentro del ámbito de aplicación de la Ley”.

La exclusión expresa del mencionado artículo 2 LOPDGDD, se realiza sin perjuicio de lo establecido en el artículo 3, el cual dispone por su parte, que las personas vinculadas al fallecido por razones familiares o de hecho, así como sus herederos, podrán solicitar el acceso a los datos personales de aquella y, en su caso, su rectificación o supresión, salvo cuando la persona fallecida lo hubiese prohibido expresamente o así lo establezca una ley.

Por otra parte, en virtud del artículo 12.5 RGPD “cuando las leyes aplicables a determinados tratamientos establezcan un régimen especial que afecte al ejercicio de los derechos, se estará a lo dispuesto en aquellas”.

Y es sobre este punto sobre el cual versa el Dictamen emitido por la AVPD en su Dictamen al resolver una consulta sobre el acceso a la Historia Clínica de las personas fallecidas por parte de sus familiares al ponerse en tela de juicio la posible controversia entre dos normas aplicables:

Ley 41/2002 de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica

Su artículo 18.4 dispone que:

  • Sólo se facilitará el acceso a la historia clínica de los pacientes fallecidos a las personas vinculadas a él, por razones familiares o de hecho, salvo que el fallecido lo hubiese prohibido expresamente y así se acredite.
  • En todo caso, el acceso de un tercero a la historia clínica motivado por un riesgo para su salud se limitará a los datos pertinentes y no se facilitará información que afecte a la intimidad del fallecido, que perjudique a terceros, ni tampoco las anotaciones subjetivas de los profesionales.
Publicado en Blog

La Agencia Española de Protección de Datos (en adelante AEPD) ha procedido a sancionar a un médico por importe de 5.000€,sanción que deriva de la pérdida de un video se grabó el 14 de octubre de 2014, cuando la paciente afectada se sometió a una intervención quirúrgica en un hospital privado de Madrid, video que fue grabado con el fin de captar la técnica para futuros usos científicos y docentes.

En el momento en el que la paciente solicitó las imágenes grabadas al doctor, con la intención de poder contrastar opiniones de distintos facultativos sobre la operación que se le había realizado, fue cuando se encontró con una respuesta vía e-mail que ni mucho menos se esperaba, en la cual el médico le decía textualmente lo siguiente;

“Como te he comentado lamento no haber podido encontrar las imágenes de tu cirugía, pero los niños me perdieron varios pendrives y es posible que en ellos se fuera tu intervención”

Fue a partir de este momento cuando la afectada decidió denunciar al facultativo, entendiendo que este había actuado con una grave falta de diligencia y dejando en manos de la AEPD la valoración de la tipología de falta cometida, cabe en este punto traer a colación los tipos de infracciones que encontramos reguladas en la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (en adelante LOPD) , dedica en concreto en su artículo 44 la regulación de los Tipos de infracciones, refiriéndose en su punto 1º a que estas pueden ser de distintos tipos dependiendo de lo acaecido en cada caso concreto:

“Las infracciones se calificarán como leves, graves o muy graves”

Respecto a esto, la AEPD determinó en el Acuerdo de Inicio del expediente sancionador que los hechos enjuiciados fueron calificados como una infracción del artículo 9.1 LOPD:

“El responsable del fichero, y, en su caso, el encargado del tratamiento deberá adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.”

Se hace en relación con el artículo 102 del RLOPD 1720/2007, sobre las copias de respaldo y recuperación. Ampliándose con el artículo 106 del RLOPD sobre los criterios de archivo, que dice deberán, entre otras cosas, posibilitar el ejercicio de los derechos de oposición al tratamiento, acceso, rectificación y cancelación.
Esto supone una infracción grave, como ya hemos adelantado anteriormente en referencia a la LOPD, y que trae aparejadas consigo multas que van de los 40.001 a los 300.000 euros.

Para intentar evitar esta sanción el médico formuló una serie de alegaciones, entre las cuales nos gustaría destacar las siguientes:

Publicado en Blog

Los Colegios Profesionales, como Corporaciones de derecho público, están dentro del ámbito de aplicación de la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno (en adelante LTP), tal y como se establece en su artículo 2.1 e): "Las corporaciones de Derecho Público, en lo relativo a sus actividades sujetas a Derecho Administrativo".

En el presente artículo intentaremos analizar cómo armonizar las obligaciones derivadas de la nueva LTP, con las obligaciones exigidas por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante LOPD).

En los capítulos II y III de la LTP se detallan las obligaciones a cumplir por los sujetos obligados, respecto a la publicidad activa y el derecho de acceso a la información pública.

1. Del capítulo II y en relación con la publicidad activa, los Colegios Profesionales deberán:

 1. Publicar de forma periódica y actualizada la información cuyo conocimiento sea relevante para garantizar la transparencia de su actividad relacionada con el funcionamiento y control de la actuación pública.
2. La publicación de información obligatoria por la LTP, será publicada en las correspondientes sedes electrónicas o páginas web y de una manera clara estructurada y entendible para los interesados y, preferiblemente, en formatos reutilizables.
3. Establecer los mecanismos adecuados para facilitar la accesibilidad, la interoperabilidad, la calidad y la reutilización de la información publicada así como su identificación y localización.
4. Publicar información relativa a las funciones que desarrollan, la normativa que les sea de aplicación así como a su estructura organizativa. A estos efectos, incluirán un organigrama actualizado que identifique a los responsables de los diferentes órganos y su perfil y trayectoria profesional.
5. Hacer pública, como mínimo, la información relativa a los actos de gestión administrativa con repercusión económica o presupuestaria, a destacar:

a. La relación de los convenios suscritos, con mención de las partes firmantes (...).
b. Las subvenciones y ayudas públicas concedidas con indicación de su importe, objetivo o finalidad y beneficiarios (...).
c. Las retribuciones percibidas anualmente por los altos cargos y máximos responsables de las entidades, así como las indemnizaciones percibidas, en su caso, con ocasión del abandono del cargo (...).

Publicado en Blog
Miércoles, 24 Diciembre 2014 10:29

Algunas peculiaridades del derecho de acceso

El derecho de acceso, es el derecho del afectado a obtener información sobre si sus propios datos de carácter personal están siendo objeto de tratamiento, la finalidad del tratamiento que, en su caso, se esté realizando, así como la información disponible sobre el origen de dichos datos y las comunicaciones realizadas o previstas de los mismos. De esta forma se describe en el artículo 27 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

Además, en el apartado 2 del mismo artículo, se establece que en virtud del derecho de acceso, el afectado podrá obtener del responsable del tratamiento información relativa a datos concretos, a datos incluidos en un determinado fichero, o a la totalidad de sus datos sometidos a tratamiento.

Por otro lado, el artículo 28 del Real Decreto 1720/2007 indica que, el afectado podrá optar por recibir la información a través de uno o varios sistemas de consulta del fichero, como son la visualización en pantalla, escrito, copia o fotocopia remitida por correo, certificado o no, telecopia, correo electrónico u otros sistemas de comunicaciones electrónicas.

De la lectura de los mencionados artículos, a priori, se podría entender que el legislador establece en términos absolutos el derecho de los afectados a acceder a cuanta información de ellos se esté tratando por parte de un responsable del fichero.

En la práctica, el derecho de acceso no es absoluto, y por tanto tienen sus limitaciones, vamos a verlo a través de dos situaciones en las que ya sea como titulares de datos o como responsables de ficheros nos podemos encontrar:

Publicado en Blog

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal