Protección de datos personales
- Categoría: Artículos
- Visitas: 48610
-
El archivo y la protección de datos personales- Notificación de Ficheros en la Agencia Española de Protección de Datos
- Información y consentimiento en la recogida de datos
- Ejercicio de derechos ARCO
- El documento de seguridad
- Referencias normativas
El archivo y la protección de datos personales
A la hora de establecer recomendaciones o criterios sobre la organización del archivo de la entidad, hay que tener en cuenta que, en función de la documentación de que se trate, también debemos cumplir con ciertas obligaciones marcadas por el derecho fundamental a la protección de datos de carácter personal.
A continuación podemos enumerar las principales obligaciones que surgen de la aplicación de la Ley Orgánica de Protección de Datos de Carácter Personal:
- Notificación de los ficheros
- Recogida correcta de los datos personales (información y consentimiento)
- Permitir el ejercicio de sus derechos a los titulares de los datos
- Proteger la información recogida y no cederla sin consentimiento
Notificación de Ficheros en la Agencia Española de Protección de Datos
En el momento que la asociación prevea que va a manejar datos de carácter personal, deberá notificar con carácter previo a la Agencia Española de Protección de Datos la existencia de un fichero que contiene esos datos. Hay que tener en cuenta que se considera “fichero” a todo conjunto organizado de datos de carácter personal, cualquiera que sea la forma o modalidad de su creación, almacenamiento, organización o acceso (tanto ficheros automatizados como ficheros manuales o en papel).
El procedimiento de notificación a La Agencia Española de Protección de Datos de la existencia de un fichero es sencillo y se puede realizar telemáticamente a través del sistema de Notificaciones Telemáticas de la Agencia (Formulario NOTA).
Hay que tener en cuenta que en esta notificación, solamente se comunica a la Agencia la existencia del fichero (indicando qué datos se van a recoger) y en ningún caso se envían los datos almacenados.
Información y consentimiento en la recogida de datos
Desde el primer momento que se recaben datos de carácter personal, debemos cumplir con ciertas obligaciones documentales. Así pues, la asociación está obligada a informar al interesado, de forma previa y expresa, de diversos aspectos, tales como:
- la existencia del fichero o tratamiento,
- la finalidad de la recogida de los datos,
- la posibilidad que tiene el interesado de ejercer los derechos de acceso, rectificación, cancelación y oposición,
- la identidad y dirección de la asociación y la identidad del destinatario de la información recabada.
Si los datos se obtienen directamente del interesado, es ineludible informarle del carácter obligatorio o facultativo de su respuesta a las preguntas que le sean planteadas.
Cuando se utilicen cuestionarios u otros impresos para la recogida de los datos se deberá incluir una cláusula donde se recoja toda esta información así como el consentimiento del afectado a la cesión de los datos.
Como ejemplo de cláusula de información de Protección de Datos:
De conformidad con la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal, con la firma del presente documento da su consentimiento para el tratamiento de los datos personales aportados en él. Estos serán incorporados al fichero denominado “socios”, inscrito en el Registro General de la Agencia Española de Protección de Datos y cuyo responsable es la Asociación “ejemplo”. Sus datos serán utilizados en la tareas propias de la gestión administrativa de la asociación, así como para enviarle información de otras actividades desarrolladas por la asociación.
Asimismo consiente expresamente que la Asociación ceda sus datos personales, de forma confidencial, a la compañía de seguros con la exclusiva finalidad de poder tramitar la contratación del seguro que dará cobertura a las actividades de la asociación.
Le informamos que podrá ejercer los derechos de acceso, rectificación, cancelación y oposición establecidos en la Ley a través de correo ordinario especificando su nombre, apellidos y D.N.I. en la siguiente dirección...
Ejercicio de derechos ARCO
A las personas de las que se recabe sus datos personales, se les debe garantizar el ejercicio de una serie de derechos comúnmente llamados con las siglas A.R.C.O. Estos derechos son la posibilidad de Acceso, Rectificación, Cancelación y Oposición de sus datos por parte del interesado.
Por lo tanto, se debe tener en cuenta el establecimiento de un procedimiento específico de comunicación para garantizar el ejercicio de estos derechos. En el momento de la recogida de los datos se debe informar del lugar y forma que el interesado tiene para el ejercicio de estos derechos (que no podrá suponer costes especiales para el interesado, como por ejemplo envío de correo certificado).
Por parte de la asociación deberá
- mantener un archivo específico con la información relativa al ejercicio de estos derechos y donde tenga los modelos a utilizar en las contestaciones correspondientes,
- guardar copia de la correspondencia generada a raíz de cualquier solicitud realizada por el interesado
El documento de seguridad
Otra documentación que se debe elaborar y archivar es el denominado documento de seguridad. En este documento se recogerán todas las medidas de índole técnica y organizativa que sean necesarias tener en cuenta en función de la normativa vigente, para garantizar la seguridad de los datos y será de obligado cumplimiento para el personal con acceso a los datos de carácter personal.
En este punto, se debe tener en cuenta que las medidas de seguridad a contemplar serán de nivel básico, medio o alto en función del tipo de datos:
- Básico: Todos los ficheros
- Medio: Gustos, tendencias, que permitan obtener una evaluación de la personalidad del individuo. Solvencia patrimonial y crédito. Hacienda pública. Servicios financieros. Comisión de infracciones administrativas o penales
- Alto: Ideología, Religión, Creencias, Origen Racial, Salud, Vida sexual
Para la elaboración del Documento de Seguridad se puede seguir la guía modelo de seguridad de datos que la Agencia Española de Protección de Datos pone a disposición en su web.
Referencias normativas
- Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
- Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica.
Webs:
Enlace a guías y publicaciones de la AEPD