jueves, 31 de marzo de 2011

Rincón del Responsable de Seguridad: ¿Qué nivel de seguridad tiene este cacharro?

Ahora que es Usted responsable de seguridad se enfrentará al reto de la correcta aplicación del art. 81 del RLOPD, o dicho de otra forma, tendrá que determinar el nivel de seguridad de los ficheros de su empresa.

Hoy estudiaremos uno de los aspecto más complicado de esta tarea: las excepciones a la aplicación del nivel de seguridad alto, previstas en los apartados 5 y 6 del citado art. 81. 

Pero antes, déjeme explicarle algunas nociones básicas. 

Lo primero de todo, no me sea Usted hortera y llame a las cosas por su nombre. Los niveles de seguridad son "básico, medio y alto", no "1, 2 y 3" o "bajo, intermedio y alto". Un responsable de seguridad fetén, que aspire al respeto de los auditores externos y de los abogados de la casa, debe utilizar la terminología lopedera con corrección.

Pues bien, las reglas para determinar cuándo se deben aplicar las medidas correspondientes a cada nivel, como ya habrá adivinado, se encuentran en el art. 81 del RLOPD. Estas medidas se asignan en función de los datos tratados, de la importancia que el legislador les otorga. De esta forma, teniendo presente que en todos los ficheros y tratamientos, como norma general, deben ser implantar las medidas de seguridad básicas, se seleccionan algunos susceptibles de contener categorías de datos merecedoras de mayor protección. 

Por una parte, se aplica el nivel medio a los ficheros y tratamientos que les indico a continuación:

- Los relativos a la comisión de infracciones administrativas o penales.

- Aquellos cuyo funcionamiento se rija por el artículo 29 de la Ley Orgánica 15/1999, de 13 de diciembre (esto es, ficheros con información sobre solvencia patrimonial y crédito).

- Aquellos de los que sean responsables Administraciones tributarias y se relacionen con el ejercicio de sus potestades tributarias.

- Aquéllos de los que sean responsables las entidades financieras para finalidades relacionadas con la prestación de servicios financieros.

- Aquéllos de los que sean responsables las Entidades Gestoras y Servicios Comunes de la Seguridad Social y se relacionen con el ejercicio de sus competencias. De igual modo, aquellos de los que sean responsables las mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social.

- Aquéllos que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos.

Por su parte, el nivel de seguridad alto se aplica a los ficheros y tratamientos siguientes:
- Los que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual.

- Los que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las personas afectadas.

- Aquéllos que contengan datos derivados de actos de violencia de género.
  
No comentan el error de identificar datos especialmente protegidos (art. 7 de la LOPD) con datos de nivel alto. El legislador no establece esa correspondencia (entre otras cosas, porque si no, habría dos niveles de seguridad, no tres). Además, es posible aplicar el nivel de seguridad básico, aún tratando datos especialmente protegidos, cuando se den las circunstancias contempladas en el art. 81.5 y 6 del RLOPD.

Dichas circunstancias son muy importantes en la práctica, ya que operan en casi todos los ficheros de Recursos Humanos de una empresa tipo. La Agencia ha emitido diversos informes jurídicos aclarando los apartados 5 y 6 del art. 81 del RLOPD. El más claro de todos ellos, el Informe 511/2009, dice:

"La consulta plantea el nivel de seguridad exigible a los ficheros mantenidos por los colegiados pertenecientes a la Corporación consultante y relativos a la gestión de recursos humanos de empresas clientes de los mismos o a la realización de actividades de asesoría fiscal de clientes que sean personas físicas.

En relación con estas cuestiones, debe tenerse en cuenta el parecer mantenido por esta Agencia en diversos informes y que puede ser resumido de la siguiente manera:

a) En relación con las labores de gestión de recursos humanos, y en relación con los datos de salud de los empleados, esta Agencia ha señalado en diversos informes a partir del de 1 de julio de 2008 que será la aplicación la previsión contenida en el artículo 81.6 del Reglamento de desarrollo de la Ley Orgánica y, en consecuencia, serán únicamente exigibles las medidas de seguridad de nivel básico en aquellos ficheros que contengan uno o varios de los siguientes datos:

- La mera indicación del grado o porcentaje de minusvalía del afectado o de los miembros de su unidad familiar a los efectos previstos para el cálculo de las retenciones en la legislación reguladora del Impuesto sobre la Renta de las Personas Físicas.

- La indicación del datos “apto” o “no apto” de un trabajador a los efectos previstos en la Ley de Prevención de Riesgos Laborales.

- Los datos relacionados con las obligaciones impuestas al empresario por la legislación vigente en materia de seguridad social que se limiten a señalar únicamente la existencia o no de enfermedad común, enfermedad profesional o accidente laboral o no laboral, así como la incapacidad laboral del trabajador.

Por el contrario, si el fichero contuviera cualesquiera datos relacionados con los resultados de las acciones de vigilancia de la salud distintos del meramente referido a la aptitud del trabajador o incorporasen los datos relacionados con la concreta enfermedad o accidente padecido por el trabajador no será posible entender aplicable el artículo 81.6 del Reglamento, debiendo implantarse las medidas de seguridad de nivel alto.

b) Por lo que respecta al tratamiento en dichos ficheros del dato de afiliación sindical de los trabajadores, la Agencia se ha referido al tratamiento en la nómina de la condición de afiliado a un sindicato del trabajador con la finalidad de proceder a la detracción de la cuota sindical, entendiendo que la misma puede subsumirse en el supuesto contemplado en el artículo 81.5 a) del Reglamento de desarrollo de la Ley Orgánica 15/1999, que excluye de la implantación de las medidas de seguridad de nivel alto los tratamientos que tengan por objeto la realización de una transferencia dineraria a la organización de la que sea miembro el trabajador."

En fin, pensaba dedicar también unas líneas al cuarto nivel de seguridad (sí, hay un cuarto nivel de seguridad, una cenicienta de la lopedé que por no tener, no tiene ni nombre), pero mi estado de salud no me lo permite. Creo que es hora de irse a la cama. 

Buenas noches. 

martes, 29 de marzo de 2011

Varios

Por motivos ajenos a mi voluntad, me he visto en la obligación de ponerme al día en materia de prueba electrónica. No existen muchos libros sobre este particular. Entre las recientes, les destaco dos:

- ILLÁN FERNÁNDEZ, José M.: La prueba electrónica, eficacia y valoración en el proceso civil. Aranzadi. Madrid, 2009

- ABEL LLUCH, Xavier y PICÓ I JUNOY, Joan: La prueba electrónica. J.M. Bosch. 2011. La editorial Bosch está publicando una colección de monografías sobre aspectos procesales de la prueba de lo más prometedora.

Lo que sí ha supuesto un hallazgo de interés es el libro sobre el derecho de rectificación de Pedro FARRÉ LÓPEZ, doctor en Derecho Constitucional y profesor en distintas universidades, entre ellas el CEU - Luis Vives. Para muchos, el autor es “el enemigo” porque ocupa el cargo de Director de Relaciones Institucionales de la SGAE. Sin embargo, debo decir que lo que he leído hasta ahora de este trabajo me gusta: resulta muy claro y bien documentado. Tengo pendiente dedicar un post a esta monografía en la sección “Libro del Mes”.

También me he comprado La Política en la Era de Internet de Ramón COTARELO, que no es un libro jurídico, pero incluye algunos capítulos interesantes para mi tesis doctoral (sí, no la he terminado todavía, pero estoy en ello).

Por último, un par de links para estar al día:

- Lo primero, link al B.O.E. donde aparece el auto de inadmisión del recurso presentado por la AEPD contra la resolución de los Libros Bautismales.

- En segundo lugar, un artículo que les resultará de interés a aquellos que asesoren a clientes de alto riesgo. Aquí pueden encontrar un dossier sobre seguros de responsabilidad LOPD (existen, aunque no son frecuentes).

- Por último, lean esta noticia, por si en algún momento, con tanto hablar de derecho al olvido, se les había ocurrido exigir algún tipo de responsabilidad civil por publicar datos en Boletines Oficiales.

miércoles, 23 de marzo de 2011

Reunión de Amigos de la Lopedé

Celebraremos una nueva Reunión de Amigos de la Lopedé el próximo domingo día 10 de abril. Como no podía ser de otra forma, hablaremos de la modificación del régimen sancionador de nuestra ley favorita.  Los interesados en asistir, pueden remitirme un e-mail a la dirección consultasblogtic@gmail.com

lunes, 21 de marzo de 2011

El rafita del Spam y otros cuentos para no dormir (II)

Antes de irse a dormir, tengo para Ustedes otro cuento de terror.

Érase una ancianita de 65 años, que vivía sola en su pisito. Como no tenía ninguna nieta que le llevara comida en una cestita, ni estaba dispuesta a irse de este mundo antes de lo previsto, decidió instalar distintos sistemas de alarmas para proteger su vivienda, situada en la primera planta del inmueble. Una asociación de vecinos bienpensantes descubrió que en el balcón de la pobre mujer existía una cámara enfocada a la calle, y ni cortos ni perezosos, lo denunciaron a la Agencia.

Monsieur le Directeur, lejos de archivar las actuaciones por tratarse de una actividad personal o doméstica, abrió procedimiento sancionador. Finalmente, como no podía ser de otra forma, éste fue cerrado sin multa para la denunciada, pero con una clara advertencia:

"En el supuesto presente, no existe constancia de que la cámara instalada en el balcón de la denunciada funcione y capte imágenes de personas, por lo que de acuerdo con los principios de presunción de inocencia, que impide imputar una infracción administrativa cuando no se haya obtenido y acreditado una prueba de cargo acreditativa de los hechos que motivan la imputación o de la intervención en los mismos del presunto infractor, e “in dubio pro reo”, que obliga en caso de duda respecto de un hecho concreto y determinante a resolver dicha duda del modo más favorable al interesado, por lo que procede proponer el archivo las presentes actuaciones.

No obstante, resultaría plenamente fundada la imposición de una sanción si en el futuro continuara ubicada las cámaras en el citado balcón, pues tal circunstancia podría constituir prueba indiciaria suficiente para determinar que la citada cámara que enfoca a la vía pública capta imágenes de las personas que transitan por ellas y enervar el principio de presunción de inocencia, pudiendo imputarse la comisión de las infracciones que resulten de la aplicación de la LOPD que podrían ser sancionadas de conformidad con el régimen sancionador previsto en la citada Ley.

De tal manera que aunque en este procedimiento se proceda al archivo de la infracción imputada, por los motivos ya expuestos, eso no le habilita para mantener la instalación de la videocámaras que enfoca a la vía pública en el inmueble mencionado.

Por lo tanto, deberá adecuar dicha instalación a la normativa vigente y retirarla, de modo que, de no hacerlo así, podrá incurrir en infracciones a la normativa vigente con el resultado ya descrito."

Señores de la Agencia, ¿no les da vergüenza aterrorizar de esta forma a ancianitas indefensas? ¿No les parece torticero amenazar con que, si no se quita la cámara del balcón, van a volver a por ella, cuando Ustedes saben que es difícil defender que esta grabación se incluye en el ámbito de la LOPD?

Afortunadamente, esta pobre señora no se les ha quedado en el sitio al recibir la comunicación de que le podía caer una multa de 60.101,21 € a 300.506,05 €. Si no, tendrían una muerte sobre sus conciencias.

Para los valientes: El texto completo de la resolución se encuentra aquí.

viernes, 18 de marzo de 2011

El rafita del Spam y otros cuentos para no dormir (I)

Hoy he leído algunas resoluciones de la Agencia que me han puesto los pelos de punta.

La primera que les comentaré se refiere a un caso ciertamente singular en el negociado de la Agencia. Se trata de un supuesto de envío de publicidad no consentida por mail en el que el Spammer resultó ser menor de edad. En fín, este Rafita de los correos no deseados registró un nombre de dominio desde el que operaba, recopiló de forma ilícita e-mails y se dedicó a “realizar acciones comerciales esporádicas”, sin duda con la finalidad de ganar euros para kalimochos.

El caso es que Monsieur le Directeur no sanciona a nadie, aún reconociendo que se ha incunplido la LOPD y la LSSICE, en base al siguiente razonamiento:

"En el presente caso no puede olvidarse que estamos ante un menor de edad que ha cometido los hechos susceptibles de sanción, habiendo quedado acreditados los supuestos que tipifican los preceptos que se han vulnerado. Pero se hace necesario distinguir responsabilidad de culpabilidad. La primera acontece cuando materialmente el sujeto realiza los actos necesarios para la consumación del ilícito, que en el presente caso es la del envío de correos electrónicos sin la observancia de lo dispuesto tanto en la LSSI como en la LOPD, sin embargo la culpabilidad consiste en la capacidad de entendimiento y la posibilidad de actuar de otro modo, así las cosas, se puede ser responsable de una infracción y a su vez no ser culpable, atendiendo al elemento volitivo del dolo o la culpa.
(...)
En el presente caso no puede dejar de valorarse que la evolución de las nuevas tecnologías y su utilización no es proporcional a la evolución del conocimiento de normas sectoriales “ratione materiae” como las que aquí se aplican ( LSSI y LOPD), por lo que en el presente caso, por mucho que el menor de edad este habituado a la utilización de las nuevas tecnologías no parece estar plenamente acreditado su conocimiento de la normativa especifica que las regula y las consecuencias de su incumplimiento, y que si bien el desconocimiento de la norma no exime de su cumplimiento, esa “extra cognitio” exigible al menor de edad, instaura un régimen de responsabilidad objetiva, que como se ha expuesto ut supra esta proscrito en nuestro ordenamiento.

Por lo que cabe concluir que si bien están acreditados los hechos que tipifican el precepto, falta el elemento volitivo de la culpabilidad para que se den los supuestos que permiten desplegar la potestad sancionadora al caso concreto, procediendo al archivo de las presentes actuaciones."

Vamos, entre Ustedes y yo, que la culpalidad no existe porque el nene no sabía que lo que hizo está prohibido. Lea la resolución completa aquí.

Ahora me voy a dormir. Ya he tenido suficiente Lopedé por hoy. Buenas noches.

martes, 15 de marzo de 2011

Rincón del Responsable de Seguridad: Redactando una política ARCO…

Hoy continuaremos hablando de la política ARCO. Como recordarán, ayer me remitía a un segundo post sobre la materia, donde les expondría el contenido mínimo de dicha política. Vamos a ello.

En primer lugar, la política ARCO debería incluir una introducción en la que se explique por qué se ha redactado y aprobado esta política (ya saben, el derecho fundamental que a todos nos asiste, el compromiso de la Dirección en el respeto de la LOPD, y blablabla….).

Seguidamente, podrán Ustedes exponer los objetivos del documento (regular la forma en que habrán de atenderse los derechos ARCO en la compañía y explicar a cada empleado su función en dicha tarea) y el ámbito de aplicación (en principio, es una norma interna de obligado cumplimiento para todo el personal).

A continuación, pasamos ya al desarrollo propiamente dicho de la política, que contendrá, al menos:

- Cuáles son los derechos ARCO y en qué consiste cada uno.

- Identificación del encargado de atenderlos, a quien se debe remitir cualquier petición que se reciba en la compañía, así como las dudas que surjan sobre la aplicación de la política (Me temo que esa persona es Usted).

- Descripción del mecanismo de atención de las peticiones: Plazos para atender las peticiones, supuestos de denegación, registro de peticiones, supuestos de atención positiva del derecho (por ejemplo, en caso de un centro de salud, se podría establecer un procedimiento para entregar la historia clínica en mano, en sobre cerrado, debiendo firmar el paciente un recibí, etc…).

- Anexos: Modelos de respuesta a las peticiones (carta tipo de denegación de cancelación, carta tipo estimando el derecho de acceso, etc…).

Ni que decir tiene que, si en su empresa existe un modelo de procedimiento, instrucción interna o similar, impuesto por normas de calidad o de otro tipo, Usted deberá ceñirse a ese modelo. No tome al pie de la letra los apartados que yo le menciono arriba. Adáptelos al estilo de su organización.

Como le comentaba, esta política ha de darse a conocer, si no en su totalidad, sí al menos en sus puntos básicos. Para ello, puede optar por distintos medios:

- E-mail informativo dirigido a todo el personal de la compañía

- Carteles colocados en áreas clave (cafetería, pasillo, zonas de descanso, etc…) Échele imaginación y no ponga sólo letras.

- Dípticos o trípticos (incluso en Word se pueden conseguir resultados aceptables)

- Apartado específico en el Manual de Bienvenida (si existe)

Es muy importante lanzar el mismo mensaje con palabras simples y de forma periódica. Goebbels lo sabía y ahora Usted también: Repita su camapaña de concienciación en derechos ARCO al menos una vez al año, cambiando de medio (un año coloca el cartel al lado de la máquina del café; al siguiente, envía un correo…)

Recalque, sobre todo, la brevedad de los plazos y que deben dirigirse a Usted nada más recibir un escrito relativo a ejercicio de derechos (o a LOPD en general). Después de todo, Usted es el protagonista y no le vendrá mal tener más visibilidad en la empresa, creando la –falsa- apariencia de que está haciendo algo útil para ganarse su sueldo.

lunes, 14 de marzo de 2011

El Responsable de Seguridad y los Derechos ARCO

Aunque el título VIII del reglamento de desarrollo de la LOPD no atribuye al responsable de seguridad ninguna función relacionada con el ejercicio de los derechos ARCO, no es extraño que acaben encomendándosele estas tareas. Seamos claros: En la mayor parte de las empresas, el responsable de seguridad es el "chico para todo" en lo que a LOPD se refiere.

¿Qué debe Usted saber sobre los derechos ARCO, ahora que ha sido nombrado responsable de seguridad? Lo primero y fundamental: Deben responderse dentro del plazo previsto en el RLOPD y  en todo caso, aunque finalmente se desestime la petición que realiza el interesado.

Dependiendo del negocio de su organización, unos derechos se ejercerán con más frecuencia que otros. Por ejemplo, en los centros sanitarios se ejerce con mucha frecuencia el derecho de acceso a la historia clínica, que además presenta la complicación debe atenderse respetando lo previsto en la Ley 41/2002. En los operadores de telefonía, los derecho estrella son los de oposición y cancelación, debido a la campañas publicitarias tan agresivas que realizan. Por tanto, conviene que Usted vaya preparando respuestas tipo para estos ejercicios de derechos que se repiten. De hecho, mi recomendación es que redacte un procedimiento o política de ejercicio de derechos donde recoja por escrito los aspectos básicos que se seguirán en su organización para atender estas peticiones.

Esta política no puede quedarse en su cajón. Tiene que difundirla y explicarla al resto de sus compañeros. La comunicación del procedimiento a seguir resulta básica a la vista de lo establecido en los artículos 24 y 25 del RLOPD.

El art. 24.5 RLOPD determina: "El responsable del fichero o tratamiento deberá atender la solicitud de acceso, rectificación, cancelación u oposición ejercida por el afectado aún cuando el mismo no hubiese utilizado el procedimiento establecido específicamente al efecto por aquél, siempre que el interesado haya utilizado un medio que permita acreditar el envío y la recepción de la solicitud, y que ésta contenga los elementos referidos en el párrafo 1 del artículo siguiente."

Por su parte, el art. 25.6 señala: "6. El responsable del fichero deberá adoptar las medidas oportunas para garantizar que las personas de su organización que tienen acceso a datos de carácter personal puedan informar del procedimiento a seguir por el afectado para el ejercicio de sus derechos."

En mi siguiente post, les explicaré lo que considero el contenido básico de una política ARCO eficaz.

miércoles, 9 de marzo de 2011

LOPD for Dummies: ¿Qué hago si me solicitan la cancelación de la Historia Clínica?

¿Pues qué va a hacer? Denegarla, alma de cántaro. Que se deba informar de la posibilidad del ejercicio de los derechos ARCO, no significa que éstos se hagan efectivos en todo caso.

En varias ocasiones, cuando he indicado a un centro sanitario que debe utilizar una cláusula informativa donde se señala que el paciente puede ejercer los derechos de acceso, rectificación, cancelación y oposición, me he encontrado con que se negaban a ponerla argumentando que no era posible destruir o eliminar la historia clínica de una persona. Otros, en un exceso de celo, han llegado a eliminar datos de salud de personas atendidas por miedo a una sanción de la Agencia. Ni una cosa ni la otra.

El reglamento de desarrollo de la LOPD, prevé la posibilidad de denegar la cancelación solicitada por un particular en determinados supuestos. En su art. 33, en concreto, determina:

"Artículo 33. Denegación de los derechos de rectificación y cancelación.

1. La cancelación no procederá cuando los datos de carácter personal deban ser conservados durante los plazos previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre la persona o entidad responsable del tratamiento y el interesado que justificaron el tratamiento de los datos.

2. Podrá también denegarse los derechos de rectificación o cancelación en los supuestos en que así lo prevea una ley o una norma de derecho comunitario de aplicación directa o cuando éstas impidan al responsable del tratamiento revelar a los afectados el tratamiento de los datos a los que se refiera el acceso.

3. En todo caso, el responsable del fichero informará al afectado de su derecho a recabar la tutela de la Agencia Española de Protección de Datos o, en su caso, de las autoridades de control de las Comunidades Autónomas, conforme a lo dispuesto en el artículo 18 de la Ley Orgánica 15/1999, de 13 de diciembre."

Da la casualidad de que la Ley 4172002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica, obliga a la conservación de la documentación clínica durante un plazo mínimo de un cinco años:

"Artículo 17. La conservación de la documentación clínica.

1. Los centros sanitarios tienen la obligación de conservar la documentación clínica en condiciones que garanticen su correcto mantenimiento y seguridad, aunque no necesariamente en el soporte original, para la debida asistencia al paciente durante el tiempo adecuado a cada caso y, como mínimo, cinco años contados desde la fecha del alta de cada proceso asistencial."

Este periodo de conservación, además, se ve aumentado por las legislaciones automómicas (por ejemplo, en Cataluña y Galicia).

En resumidas cuentas, si reciben una petición de cancelación de datos contenidos en una historia clínica, lo único que deben hacer es acusar recibo del requerimiento del interesado, señalando:

1º. Que no es posible cancelar los datos porque existe una norma que obliga a su conservación.
2º. Que en caso de que lo considere conveniente, puede solicitar la tutela de la AEPD.

No olvide que el plazo para responder el ejercicio del derecho de cancelación es de 10 días hábiles.

martes, 8 de marzo de 2011

El Responsable de Seguridad y el inventario de ficheros

¿Qué es un inventario de ficheros, se pregunta Usted, responsable de seguridad novel, que ha sido arrojado al mundo de la Lopedé por una mala jugada del destino? Y yo le respondo: El inventario de ficheros será su mejor amigo en los próximos años.

Le ayudará a controlar los ficheros registrados, los de nueva creación, aquellos que precisen ser modificados, e incluso, el documento de seguridad.

Partamos de la base de que no deben registrarse tantos ficheros como aplicaciones o archivos en papel existan en la organización. Esta opción sólo resulta viable en pequeñas empresas. Ya se lo comenté, allá por el 2008, en este post, que harán bien en repasar.

A partir de ahora, llamaremos ficheros físicos a las bases de datos y archivos existentes en una empresa. Los ficheros jurídicos serán las agrupaciones de ficheros físicos que se crean, atendiendo a criterios como la finalidad, el nivel de seguridad o el origen de los datos, a efectos de su notificación al Registro General de Protección de Datos.

Pues bien, el inventaruio de ficheros es la herramienta que relaciona los ficheros físicos con los jurídicos en una determinada organización. Dependiendo de lo completo que sea, y de las características de su empresa, les servirá de base para redactar el documento de seguridad. De hecho, el inventario de ficheros constituye el punto de partida de todos los trabajos de adecuación que vaya a desarrollar. El tiempo que invierta en su mantenimiento, por mucho que sea, puede darlo por amortizado si consigue desarrollar un inventario exhaustivo (lo que en muchas ocaciones, no resulta nada fácil).

En los próximos post, les daré algunos consejos para empezar a elaborar un inventario de fichero en su empresa.

Buenos días.

domingo, 6 de marzo de 2011

Enhorabuena: Es Usted Responsable de Seguridad

Lo ha conseguido. La cumbre de su carrera profesional. Le han nombrado responsable de seguridad de su empresa. ¿Y ahora qué?

El puesto de responsable de seguridad, su posición en la Organización, e incluso, sus funciones, varían mucho dependiendo de la incidencia que la LOPD tenga en el negocio o de la importacia que se le quiera dar desde la Dirección (por motivos de imagen, por filias o fobias personales, por cualquier razón). Lo que sí le puedo asegurar es que de vez en cuando le pedirán que se enfrente a dilemas como el nivel de seguridad que se le debe aplicar a una base de datos o si se puede o no ceder a un tercero determinada información.

Afortunadamente, Ad Edictum inicia una nueva sección donde podrá resolver todas sus dudas. Comenzaremos por una fácil.

Imaginemos que es Usted el responsable de seguridad de una cadena de hoteles. La Guardia Civil le solicita la grabación de las cámaras de seguridad de la recepción de uno de ellos. Le piden verbalmente que se haga entrega de todas las grabaciones captadas en los tres últimos meses. ¿Debe Usted acceder a esta petición?

La Agencia ha determinado en distintos informes jurídicos los requisitos que deben cumplirse para realizar cesiones de datos de carácter personal a las Fuerzas y Cuerpos de Seguridad del Estado. Por ejemplo, y por citar uno de los más recientes, en el informe 86/2010, dice lo siguiente:

"Resultará, en consecuencia, aplicable a este segundo supuesto lo dispuesto en el artículo 22.2 de la Ley Orgánica 15/1999, según el cual “La recogida y tratamiento para fines policiales de datos de carácter personal por las Fuerzas y Cuerpos de Seguridad sin consentimiento de las personas afectadas están limitados a aquellos supuestos y categorías de datos que resulten necesarios para la prevención de un peligro real para la seguridad pública o para la represión de infracciones penales, debiendo ser almacenados en ficheros específicos establecidos al efecto, que deberán clasificarse por categorías en función de su grado de fiabilidad”

El citado artículo habilita, a nuestro juicio, a los miembros de la Policía Judicial para la obtención y tratamiento de los datos requeridos, lo que llevará aparejada la procedencia de la cesión instada, siempre y cuando, como se indica en el informe de la Comisaría General de la Policía Judicial adjunto a la consulta y esta Agencia Española de Protección de Datos ha venido indicando reiteradamente, se cumplan las siguientes condiciones:

a) Que quede debidamente acreditado que la obtención de los datos resulta necesaria para la prevención de un peligro real y grave para la seguridad pública o para la represión de infracciones penales y que, tratándose de datos especialmente protegidos, sean absolutamente necesarios para los fines de una investigación concreta.
b) Que se trate de una petición concreta y específica, al no ser compatible con lo señalado anteriormente el ejercicio de solicitudes masivas de datos.
c) Que la petición se efectúe con la debida motivación, que acredite su relación con los supuestos que se han expuesto.
d) Que, en cumplimiento del artículo 22.4 de la Ley Orgánica 15/1999, los datos sean cancelados “cuando no sean necesarios para las averiguaciones que motivaron su almacenamiento”."

Teniendo en cuenta lo anterior, su respuesta a la Guardia Civil será que no pueden atender la solicitud de entrega de grabaciones hasta que:
1º. Remitan la petición por escrito.
2º. Expliquen los motivos por los que desean el acceso a las imágenes.
3º. Declaren expresamente en su solicitud que las grabaciones que requieren se limitan a las mínimas imprescindibles para la investigación que llevan a cabo.