martes, 30 de septiembre de 2008

Cómo redactar una cláusula LOPD (V): Medios de informar y obtener el consentimiento

De acuerdo al art. 12.3 del RLOPD, “corresponderá al responsable del tratamiento la prueba de la existencia del consentimiento del afectado por cualquier medio de prueba admisible en derecho”. Análoga obligación se establece con respecto al deber de información en el art. 18.1 del reglamento: “El deber de información a que se refiere el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, deberá llevarse a cabo a través de un medio que permita acreditar su cumplimiento, debiendo conservarse mientras persista el tratamiento de los datos del afectado.”

Es decir, no basta con cumplir con los principios de información y consentimiento, sino que es necesario poder acreditar que dichas prescripciones se han observado. En el caso de que se utilicen formularios, cupones o contratos para la recogida de datos, la solución se presenta relativamente sencilla: bastará con crear un archivo organizado de estos documentos, que en el caso del deber de información podrá incluir documentos escaneados, no originales. Antes de la aprobación del nuevo reglamento, el almacenamiento de cupones publicitarios en empresas para las que resulta fundamental mantener una base de datos de márketing ocasionaba serios problemas de gestión.

El artículo 18.2 del RLOPD indica, tras señalar que corresponde al responsable del fichero acreditar el cumplimiento del deber de información, determina que:

El responsable del fichero o tratamiento deberá conservar el soporte en el que conste el cumplimiento del deber de informar. Para el almacenamiento de los soportes, el responsable del fichero o tratamiento podrá utilizar medios informáticos o telemáticos. En particular, podrá procederá al escaneado de la documentación en soporte papel, siempre y cuando garantice que en dicha automatización no ha mediado alteración alguna de los soportes originales.”
Les llamo la atención sobre tres extremos:
  1. El deber de conservación alcanza únicamente mientras dure el tratamiento de los datos. En caso de que abra un procedimiento sancionador por vulneración del artículo 5 de la LOPD, no podrán exigirles que presente acreditación de haber cumplido con el deber si el tratamiento de los datos en cuestión ya había finalizado.
  2. No basta con el simple escaneo. Es necesario utilizar algún mecanismo que garantice la no alteración de los originales (por ejemplo, firma electrónica).
  3. El art. 18 del reglamento se refiere exclusivamente al cumplimiento de la obligación de información, no a la recogida del consentimiento. Ya conocen Ustedes la diferencia.

A estas alturas, se estarán preguntado qué hacer cuando no se utiliza un cupón o formulario de papel para recoger los datos del interesado. La Agencia Española de Protección de Datos ha respondido a esta pregunta en dos informes jurídicos.

En el Informe Jurídico 93/2008, nos indica respecto a la forma de obtener el consentimiento a través de páginas webs:

"En el supuesto de que la recogida de datos se realice a través de una página web, las obligaciones a las que acabamos de referirnos, suelen cumplirse mediante formularios y cláusulas a los que se accede a través de enlaces como pueden ser “aviso legal” o “política de protección”. También es importante incluir algún tipo de “link” de este tipo en relación con los derechos de los interesados de rectificación, cancelación, acceso y oposición.
En cuanto al consentimiento informado, este habrá de recabarse de tal forma que resulte imposible la introducción de dato alguno sin que previamente el afectado haya conocido la advertencia que contenga las menciones a las que nos hemos referido, pudiendo servir como prueba del consentimiento la acreditación de que el programa impide introducir los datos sin antes haber aceptado el aviso legal al que hemos hecho referencia. Todo ello tiene por objeto asegurar que el consentimiento de los afectados sea efectivamente específico e inequívoco tal y como exige la Ley."

En cuanto a los datos recogidos a través del teléfono, el Informe Jurídico 0268/2008 señala:

"La consideración de haber cumplido con el deber de informar según doctrina reiterada de la Audiencia Nacional corresponde al responsable del fichero la prueba del cumplimiento del deber de informar, y dicha prueba no podría obtenerse en caso de una mera información verbal.
En el supuesto de que la recogida de datos se realice telefónicamente, la acreditación de los requisitos exigidos por la Ley para proceder al tratamientos de datos personales, podrá hacerse a través del establecimiento de una alocución permanente grabada en la que se haga referencia al tratamiento de los datos informando de los extremos contenidos en el artículo 5.1 y de la conservación de las cintas mientras dure el tratamiento. "

No hay comentarios: