Documentos de Académico
Documentos de Profesional
Documentos de Cultura
CONTENIDO
• Si
S en el plazo de un mes el Director de la AEPD no hubiera
dictado una resolución expresa acerca de la inscripción del
fichero, éste se considerará inscrito a todos los efectos.
02
Este principio se recoge en el artículo 5 de la LOPD, cuyo texto
inicial señala que:
• La
L existencia de un fichero o tratamiento de datos de carácter
personal.
• La
L finalidad de la recogida de los datos.
03
Como podemos ver, en el cumplimiento de este principio, ¿Cómo se debe facilitar al interesado o afectado los extremos
intervienen tanto el Responsable del Fichero, que va a recabar los relativos al principio de información que hemos citado?
datos, como los propios interesados, ya que:
Como se ha señalado antes, el artículo 5 LOPD únicamente indica
• A
Al Responsable del Fichero le corresponde articular el que la información debe facilitarse de forma expresa, precisa e
sistema que permita informar a los interesados. inequívoca, pero no regula el medio concreto a través del cual
deberá proporcionarse.
• L
Los interesados tienen que participar en la medida requerida
por el Responsable para garantizar el cumplimiento de esta Esta laguna de la Ley la resuelve el Reglamento de desarrollo de
obligación con carácter previo a facilitar sus datos y a la la misma, al disponer que:
prestación de su consentimiento para tratarlos.
“El deber de información al que se refiere el artículo 5 de la LOPD
En virtud, pues, del principio de información, sólo cuando el deberá llevarse a cabo a través de un medio que permita acreditar su
interesado ha sido informado de forma expresa, precisa e cumplimiento, debiendo conservarse mientras persista el tratamiento
inequívoca de la finalidad de la recogida de sus datos, podrá decidir de los datos del afectado.
si quiere que los mismos sean tratados y estén almacenados o
El responsable del fichero o tratamiento deberá conservar el
incorporados en un fichero y se puedan utilizar para la finalidad
soporte en el que conste el cumplimiento del deber de informar.
que de la que se ha informado.
Para el almacenamiento de los soportes, el responsable del fichero
o tratamiento podrá utilizar medios informáticos o telemáticos.
En particular, podrá proceder al escaneado de la documentación
en soporte papel, siempre y cuando se garantice que en dicha
automatización no ha mediado alteración alguna de los soportes
originales”.
04
En definitiva, el cumplimiento del deber de informar debe poder CONSENTIMIENTO
acreditarse y conservarse en un soporte, ya sea automatizado o
Concepto
en papel.
05
• Expreso: Exige que se declare de forma clara e inequívoca por El consentimiento en el tratamiento de los datos de salud
parte del interesado que acepta o consiente el tratamiento
El artículo 7.3 de la LOPD señala, en cuanto a los datos de salud,
de sus datos para una finalidad, mediante la expresión de su
que sólo podrán ser recabados, tratados y cedidos cuando así lo
voluntad, que podrá ser por escrito, verbalmente, mediante
disponga una ley o el afectado lo consienta expresamente.
comunicación telemática o por cualquier otro medio.
• Si
S se trata de datos especialmente protegidos (a los que ya • C
Cuando resulte necesario para la prevención o para el
hemos hecho referencia), debemos distinguir: diagnóstico médico.
06
Por su parte, la LOPD habilita a las instituciones y centros En este caso, puede verse claramente como la Ley hace prevalecer
sanitarios, tanto públicos como privados, para tratar los datos el derecho a la vida sobre el derecho a la intimidad o la protección
relativos a la salud de las personas que a ellos acudan o hayan de los datos personales, pues como el TC señaló “sin vida no hay
de ser tratados en los mismos, de acuerdo con lo dispuesto en la derecho a la intimidad”.
legislación estatal o autonómica sobre sanidad.
Calidad de los datos
Ello implicaría que será suficiente con el consentimiento previo
Los tres primeros apartados del artículo 4 de la LOPD disponen
que se deriva de la relación de los usuarios o pacientes con
textualmente que:
los centros y profesionales sanitarios para permitir también
el tratamiento de tales datos sin necesidad de que presten un L datos de carácter personal sólo se podrán recoger para
1. Los
consentimiento específico, al dar por sentado que la presencia del su tratamiento, así como someterlos a dicho tratamiento,
mismo en tales centros hospitalarios persiguiendo una finalidad cuando sean adecuados, pertinentes y no excesivos en
de asistencia sanitaria y consintiendo en ello se extiende también relación con el ámbito y las finalidades determinadas,
al tratamiento de datos sanitarios. explícitas y legítimas para las que se hayan obtenido.
07
Parece evidente que del contenido del artículo 4 de la LOPD La realidad es que para que un dato pueda ser considerado más
pueden distinguirse 3 principios diferentes que deben cumplirse o menos pertinente deberá ponerse necesariamente en relación
inexorablemente en el tratamiento de los datos. con la finalidad para la que los datos fueron recabados.
Por una parte, el principio de “finalidad” que impone que “los Y, por otra parte, los datos son pertinentes o no, para el
datos de carácter personal objeto de tratamiento no podrán cumplimiento de una finalidad determinada.
usarse para finalidades incompatibles con aquellas para las que
Lo mismo puede decirse del principio de veracidad, ya que
los datos hubieran sido recogidos. No se considerará incompatible
para que los datos puedan cumplir con el fin para el que fueron
el tratamiento posterior de éstos con fines históricos, estadísticos
recabados es preciso que esos datos estén actualizados y que
o científicos”.
respondan siempre a la realidad, pues iría en contra de la esencia
Por otra parte, el principio de “pertinencia”, que implica que de la propia normativa el tratamiento datos de carácter personal
“los datos de carácter personal sólo se podrán recoger para su con un fin determinado si los mismos son erróneos.
tratamiento, así como someterlos a dicho tratamiento, cuando
Teniendo claro lo anterior y centrando el principio de calidad
sean adecuados, pertinentes y no excesivos en relación con el
de los datos en el principio de finalidad, la conclusión respecto
ámbito y las finalidades determinadas, explícitas y legítimas para
del mismo es que si la recogida de datos se realizó con una
las que se hayan obtenido”
finalidad determinada, cualquier tratamiento posterior que no
Y, finalmente, el principio de “veracidad”, según el cual “los datos esté íntimamente relacionado con esos fines para los que fueron
de carácter personal serán exactos y puestos al día de forma que suministrados o facilitados, es incompatible con la finalidad que
respondan con veracidad a la situación actual del afectado”. motivó la entrega.
08
Deber de Secreto Adoptar las medidas técnicas y organizativas que se
recogen en el Reglamento de desarrollo de la LOPD,
El deber de secreto que incumbe cumplir tanto al Responsable del
entre las que se incluyen la redacción del Documento
Fichero como a cualquier persona que, por razón del trabajo que
de Seguridad y realizar la correspondiente Auditoría
desempeñe, representa o viene a ser la otra cara de la moneda del
de Seguridad en materia de Protección de Datos.
derecho a que se mantenga la confidencialidad de los datos.
Medidas de seguridad en el tratamiento de datos personales
Este deber se recoge en el artículo 10 de la LOPD, al señalar que:
“El Responsable del Fichero y quienes intervengan en cualquier fase Con carácter general, el Responsable del Fichero está obligado
del tratamiento de los datos de carácter personal están obligados al a implantar las medidas de seguridad adecuadas al grado de
secreto profesional respecto de los mismos y al deber de guardarlos, protección que requieran los datos contenidos en cada uno de los
obligaciones que subsistirán aun después de finalizar sus relaciones ficheros, de acuerdo con la normativa.
con el titular del fichero o, en su caso, con el responsable del mismo”.
Las medidas de seguridad a implantar se clasifican, dependiendo de
La observancia de este deber es de tan vital importancia que la naturaleza de la información tratada, en: medidas de seguridad
el Código Penal tipifica como delito la revelación de secretos de nivel básico, de nivel medio y de nivel alto, siendo todas ellas
profesionales. de aplicación a los ficheros automatizados, no automatizados o
mixtos.
Observar lo dispuesto en la normativa LOPD cuando
deba procederse a comunicar o ceder los datos El nivel de seguridad a aplicar a los ficheros estará directamente
obrantes en los ficheros y regular los tratamientos relacionado con el grado de necesidad de garantizar la
de datos por cuenta de terceros. confidencialidad de la información que se contiene en ellos.
Esta obligación será objeto de análisis posteriormente, en un Como regla general, a todos los ficheros les serán de aplicación
epígrafe independiente. las medidas de seguridad de nivel básico (por ejemplo, fichero de
agenda o contactos).
09
Debe tenerse presente que los distintos niveles de seguridad Teniendo que en cuenta, conforme a lo señalado, que a los ficheros
son acumulativos, de tal manera que los ficheros a los que les que contengan datos de salud, como es el caso de las clínicas y
corresponda observar medidas de seguridad de nivel alto, como hospitales, la normativa impone la implantación de medidas de
aquellos que contengan datos de salud, deberán cumplir, además nivel alto, pasaremos por alto cuáles son las relativas al nivel
con las medidas de seguridad de nivel básico y medio. básico y medio y enumeraremos cuáles son aquéllas:
• R
Registro de acceso (tanto para soportes automatizados como
• Los
L que se refieran a datos de ideología, afiliación sindical,
papel).
religión, creencias, origen racial, salud o vida sexual.
• A
Adopción de medidas adicionales en las copias de respaldo
L que contengan o se refieran a datos recabados para fines
• Los
(copia en un lugar diferente).
policiales sin consentimiento de las personas afectadas.
• C
Cifrado de telecomunicaciones.
• Aquellos
A que contengan datos derivados de actos de violencia
de género. • A
Almacenamiento de ficheros no automatizados o en soporte
papel bajo llave y en áreas de acceso restringido.
Teniendo que en cuenta, conforme a lo señalado, que a los ficheros
que contengan datos de salud, como es el caso de las clínicas y
hospitales, la normativa impone la implantación de medidas de
nivel alto, pasaremos por alto cuáles son las relativas al nivel
básico y medio y enumeraremos cuáles son aquéllas:
10
Redacción del Documento de Seguridad
Auditoría
11