¿Qué datos debe facilitar el responsable del tratamiento cuando se ejercita el derecho a la portabilidad de los datos?

La entrada en vigor del Reglamento (UE) 2016/679, de 27 de abril de 2016, General de Protección de Datos (RGPD) trajo consigo la inclusión de nuevos derechos para los interesados, entre los que se encuentra el derecho a la portabilidad de los datos.

Este derecho, que permite a los interesados obtener los datos facilitados al responsable del tratamiento en un formato estructurado, de uso común y de lectura mecánica, ha de ejercerse en los términos del artículo 20 RGPD:

“1. El interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado, cuando:

1. a) el tratamiento esté basado en el consentimiento con arreglo al artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), o en un contrato con arreglo al artículo 6, apartado 1, letra b), y
2. b) el tratamiento se efectúe por medios automatizados.
3. Al ejercer su derecho a la portabilidad de los datos de acuerdo con el apartado 1, el interesado tendrá derecho a que los datos personales se transmitan directamente de responsable a responsable cuando sea técnicamente posible.
4. El ejercicio del derecho mencionado en el apartado 1 del presente artículo se entenderá sin perjuicio del artículo 17. Tal derecho no se aplicará al tratamiento que sea necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.
5. El derecho mencionado en el apartado 1 no afectará negativamente a los derechos y libertades de otros”.

Recientemente, la Agencia Española de Protección de Datos (AEPD) emitía una resolución que ofrecía respuesta a la pregunta de cuáles son los datos “facilitados” al responsable de tratamiento a los que se refiere el RGPD, que el interesado tiene derecho a recibir.

Concretamente, la resolución se originó con la reclamación de un usuario que ejerció su derecho de portabilidad ante una empresa de telecomunicaciones y que no quedó satisfecho con los datos entregados por la misma, ya que únicamente recibió los datos que él mismo había facilitado a la empresa de comunicaciones: nombre, apellidos, DNI, teléfono, dirección, correo electrónico y datos bancarios; y no otros datos resultantes del uso o desarrollo del servicio, como los datos de productos o servicios, consumo, tráfico, visitas a webs y localización.

La Agencia entiende que el concepto de “datos facilitados por el afectado” del art. 20.1 RGPD debe ser interpretado en un sentido amplio, acorde con la finalidad perseguida por el reconocimiento de este derecho, por lo que cabría considerar como “facilitados” los datos efectivamente suministrados por el interesado y, además, aquellos que resultasen del propio “uso” o “desarrollo” del servicio contratado.

Mientras que no serían objeto del derecho de portabilidad aquéllos datos que puedan ser considerados “inferidos” y “derivados”, entendidos como los que resulten de la aplicación a la información generada en el desarrollo del servicio de conocimientos o técnicas propias del responsable; es decir, procedentes de la aplicación sobre los datos relacionados con el producto o servicio de técnicas que forman parte del know how del responsable (como pueden ser entre otros, técnicas matemáticas o resultantes de la aplicación de algoritmos).

En base a esto, entiende a Agencia que, en este supuesto, la portabilidad se ha llevado a cabo de forma incompleta, dado que el reclamado no ha facilitado otros datos que también le incumben a la parte reclamante.

En este sentido, se debe facilitar los datos personales que procedan también de la observación de sus actividades tales como los datos de consumo.

Respecto a los datos de tráfico y los datos de localización distintos de los datos de tráfico, declara que, teniendo en cuenta lo dispuesto en el artículo 48 de la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones, que el reclamante tiene derecho a la portabilidad respecto de sus datos de tráfico que conserve la entidad por ser necesarios a efectos de la facturación y los pagos de las interconexiones hasta que sean cancelados por haber expirado el plazo para la impugnación de la factura del servicio, para la devolución del cargo efectuado por el operador, para el pago de la factura o para que el operador pueda exigir su pago.

También tendrá el reclamante derecho a la portabilidad respecto de los datos de tráfico que se utilicen con su consentimiento con fines comerciales o para la prestación de servicios de valor añadido y respecto de los datos de localización distintos de los datos de tráfico que no se hayan hecho anónimos por la entidad y se utilicen con consentimiento del interesado para la prestación de servicios de valor añadido, sin que estas previsiones alcancen a la imprecisa pretensión de las “visitas a la web”.

En relación con estos datos es importante señalar que la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones, en su Capítulo II («Conservación y cesión de datos») establece el plazo de conservación de los mismos, que será, con carácter general, de doce meses desde que la comunicación se hubiera establecido (si bien reglamentariamente se podrá reducir a seis meses o ampliar a dos años, como permite la Directiva 2006/24/CE).

Como se reseña en el artículo 1 de esta ley, esta tiene por objeto la regulación de la obligación de los operadores de conservar los datos generados o tratados en el marco de la prestación de servicios de comunicaciones electrónicas o de redes públicas de comunicación, así como el deber de cesión de dichos datos a los agentes facultados siempre que les sean requeridos a través de la correspondiente autorización judicial con fines de detección, investigación y enjuiciamiento de delitos graves contemplados en el Código Penal o en las leyes penales especiales.

Así, existe una obligación de los operadores de conservar los datos generados o tratados en el marco de la prestación de servicios de comunicaciones electrónicas o de redes públicas de comunicación, pero esta conservación se realiza únicamente con fines de detección, investigación y enjuiciamiento de delitos graves contemplados en el Código Penal o en las leyes penales especiales, pudiendo tener acceso a los datos conservados exclusivamente los agentes facultados.

De lo anterior, deduce la Agencia, que los interesados no tienen derecho a la portabilidad de los datos de tráfico conservados por las operadoras a los efectos previstos en la Ley 25/2007.

En relación con los datos referidos a las visitas web, no se reconoce el derecho a su portabilidad.

Equipo de Govertis

¿Protección de Datos o Derecho a la propia imagen?

Hace una semanas, veía la luz una resolución de la Agencia Española de Protección de Datos (Procedimiento Nº: PS/00334/2019) , en el que se imponía una sanción de 10.000 €uros a un particular por “publicar en su estado de WhatsApp fotografías intimas y capturas de conversaciones del reclamante y de una tercera persona (…), siendo publicadas sin su conocimiento, ni consentimiento tras haberle sido sustraídas de un pendrive que le ha desaparecido.”

Tras estimar la reclamación e iniciar procedimiento sancionador, la AEPD, estima que se ha producido una infracción de artículo 6 del Reglamento General de Protección de Datos relativo a la licitud del tratamiento al haberse utilizado las fotografías sin consentimiento del interesado.

La Agencia, tras valorar entre otras cosas: La ausencia de vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal. El reclamado es una persona física, decide imponer la mencionada sanción conforme a los artículos 83.1 y 83.2 del RGPD y el artículo 76 de la LOPDGDD.

Esta resolución de la Agencia Española de Protección de Datos, ha resultado polémica por la aplicación directa del RGPD a un particular.

Si bien es cierto que la Agencia Española de Protección de Datos, ya ha sancionado en otras ocasiones a particulares por “usar, grabar y compartir imágenes por whatsapp” al considerar que estas acciones constituyen un tratamiento de datos. Se ha planteado por diversos profesionales una cuestión interesante sobre si la vía jurídica correcta para perseguir o evitar ese tipo de uso de imágenes sin consentimiento o sin autorización del titular es acudir a la Agencia Española de Protección de Datos, como órgano administrativo, o si bien la forma correcta de proteger este uso ilegítimo de la imagen sería acudir a juzgados y tribunales.

A este respecto, en España la Ley Orgánica 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen, ya dispone en su artículo primero que el derecho a la propia imagen “será protegido civilmente frente a todo género de intromisiones ilegítimas, de acuerdo con lo establecido en la presente Ley Orgánica. Cuando la intromisión sea constitutiva de delito, se estará a lo dispuesto en el Código Penal”

Esta norma indica que no se apreciará la existencia de intromisión ilegítima en la protección civil del honor, de la intimidad y de la propia imagen cuando estuviere expresamente autorizada por ley o cuando el titular del derecho hubiese otorgado al efecto su consentimiento expreso.

Y en su artículo séptimo enumera los casos considerados como intromisiones ilegítimas.

Todas las normas citadas (RGPD, LOPDGDD y Ley Orgánica 1/1982) establecen claramente los requisitos para la legitimidad del uso de imágenes, y en concreto que esta legitimación debe ser el consentimiento o autorización.

Mediante esta resolución la AEPD (aunque parta de la competencia a un órgano de la administración conforme a la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas) ha querido proteger los derechos fundamentales del interesado, y en concreto el derecho a la intimidad personal recogido en el artículo 18 de nuestra Constitución, estimando tener competencia para ello en vía administrativa.

Equipo de Govertis

El rol del DPO ante la rendición de cuentas o el principio de accountability

El principio de responsabilidad proactiva se encuentra regulado en el artículo 5 del RGPD:

“El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo («responsabilidad proactiva»)”.

Este principio es posteriormente desarrollado en el artículo 24 del RGPD:

1. “Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento. Dichas medidas se revisarán y actualizarán cuando sea necesario.
2. Cuando sean proporcionadas en relación con las actividades de tratamiento, entre las medidas mencionadas en el apartado 1 se incluirá la aplicación, por parte del responsable del tratamiento, de las oportunas políticas de protección de datos.
3. La adhesión a códigos de conducta aprobados a tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor del artículo 42 podrán ser utilizados como elementos para demostrar el cumplimiento de las obligaciones por parte del responsable del tratamiento”.

Lo relevante y la novedad principal introducida por el RGPD radica en que no basta simplemente con cumplir con las obligaciones establecidas en el RGPD, sino que además hay que ser capaz de demostrar que se cumple con el RGPD.

El rol del DPD puede tener un incalculable valor a la hora de demostrar el cumplimiento del RGPD:

• El DPO ya está garantizando por el mero hecho de su nombramiento una presunción de cumplimiento del principio de privacidad por diseño y por defecto puesto que su rol de asesor y supervisor implica que con carácter previo debe haber asesorado al responsable o encargado sobre el nuevo tratamiento que se pretende iniciar o sobre las nuevas finalidades y usos no previstos inicialmente sobre alguno de los tratamientos existentes.
• El DPO en su labor de asesoramiento y supervisión debe emitir informes y dictámenes lo que genera un conjunto de documentos que dan trazabilidad a las medidas adoptadas para reducir o eliminar los riesgos que pueden afectar a los diferentes tratamientos.
• El DPO tiene un papel relevante otorgado por el RGPD dentro de las EIPD y su labor de documentación, así como las opiniones reflejadas en las diferentes actas aportan una información de gran importancia a la hora de demostrar que se pretendía y se pretende cumplir con el RGPD.
• Tanto EL RGPD como la LOPDGDD obligan al DPO a comunicar internamente a los órganos de dirección los incumplimientos que detecten del RGPD. Esta obligación obliga a documentar por parte del DPO la vulneración y posteriormente ayudará a demostrar cómo se ha avanzado dentro de un ciclo de mejora continua desde que se detecta un incumplimiento del RGPD hasta que se elimina o reduce a un nivel aceptable ese incumplimiento.
• La LOPDGDD obliga a responsables y encargados que hayan designado DPO a comunicarle cualquier adición, modificación o exclusión en el contenido del registro de actividades de tratamiento. Esta medida da trazabilidad al contenido del registro y sus diferentes versiones puesto que además de justificar por escrito que se ha comunicado al DPO, este último deberá emitir un informe o dictamen sobre su parecer sobre los cambios proyectados. Mas aún si cabe, la primera versión del registro de actividades también debería ir acompañada de un dictamen o informe sobre la conformidad o disconformidad del DPO sobre el registro.
• La LOPDGDD dispone que el DPO en el ejercicio de sus funciones tendrá acceso a los datos personales y procesos de tratamiento, no pudiendo oponer a este acceso el responsable o el encargado del tratamiento la existencia de cualquier deber de confidencialidad o secreto. Por su parte el artículo 38.1 del RGPD dispone que tanto el responsable como el encargado del tratamiento garantizarán que el DPO participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales. Ese conocimiento del contexto de los tratamientos que tiene el DPO junto con sus informes o dictámenes permitirán demostrar documentalmente las medidas implementadas para eliminar las vulneraciones del RGPD y LOPDGDD.
• Su papel dentro de la gestión de una violación de seguridad de datos personales es de vital importancia, puesto que su asesoramiento y consejo documentado permitirán a la organización justificar documentalmente aquellos aspectos que llevaron a determinar que existía o no, un riesgo o un alto riesgo para los interesados, así como las medidas que se deben implementar para evitar sucesos similares en el futuro.
• Es el punto de contacto entre la organización que representa y la autoridad de control y los interesados por lo que puede asesorar sobre la mejor actuación y respuesta a dar ante reclamaciones y solicitudes de información.
• En definitiva, esa labor de informar, asesorar y supervisar los tratamientos realizados por el responsable o encargado sobre los tratamientos realizados dejan una importante documental de cara a demostrar el cumplimiento del RGPD tanto desde las fases iniciales hasta las fases finales en las que se pueda emitir la conformidad del DPO en aspectos tan diversos como:

• • Registro de actividades de tratamiento
  • Cumplimiento de los principios del RGPD (licitud, minimización etc)
  • Conformidad con las bases de legitimación del tratamiento
  • Conformidad con las comunicaciones de datos
  • Conformidad con las garantías ofrecidas por los prestadores de servicios que acceden a datos
  • Conformidad con las transferencias internacionales realizadas
  • Conformidad con los planes de formación y concienciación de empleados que se han realizado o programado
  • Conformidad con los resultados de los análisis de riesgos o evaluaciones de impacto en protección de datos
  • Conformidad con las medidas de seguridad implementadas
  • Conformidad con los resultados de las auditorías internas o externas y los planes de mejora continua implementados para eliminar o reducir las no conformidades detectadas.

Equipo de Govertis

El derecho de acceso a las grabaciones de dispositivos de video

La Agencia Española de Protección de Datos (AEPD) ha tratado de manera reiterada el tema de dispositivos de vídeo y sistemas videovigilancia ya sea a través de resoluciones, instrucciones o guías.

Asuntos como el de los carteles informativos sobre la videovigilancia, los requisitos que se han de cumplir respecto al posicionamiento y orientación de las cámaras o el periodo de conservación de las imágenes han sido ampliamente tratados. Sin embargo, un tema que ha pasado desapercibido, es el método de actuación que ha de seguir el Responsable del Tratamiento ante la solicitud por un interesado de un ejercicio de derecho de acceso a las grabaciones. Aunque parece un asunto sencillo tiene sus particularidades que hemos de tener en cuenta.

El art. 15 del Reglamento General de Protección de Datos (RGPD) regula el Derecho de Acceso.

Un interesado podrá solicitar la copia de las grabaciones de una cámara de videovigilancia de una determinada ubicación donde haya estado en los últimos días y, además, la información adicional que se contempla en los distintos puntos del art. 15 del RGPD como, por ejemplo, los fines del tratamiento, las categorías de datos, los destinatarios o los plazos de conservación. Es especialmente relevante, como se verá más adelante, que el acceso a la copia de las grabaciones no puede ser en perjuicio de los derechos y libertades de terceras personas.

El mencionado art. 15 del RGPD es complementado en la legislación nacional por el art. 13 de la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPD-GDD).

Al contrario del RGPD, la LOPD-GDD aborda de manera explícita el tratamiento de datos para fines videovigilancia en su art. 22. No obstante, no regula de forma específica como se ha responder a un derecho de acceso de un interesado a las grabaciones de los dispositivos de vídeo. La respuesta a esta pregunta la podemos encontrar en los siguientes documentos:

1. Instrucción 1/2006, de 8 de noviembre, de la Agencia Española de Protección de Datos, sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras (link). Noviembre de 2006.
2. Guía de la AEPD sobre el uso de videocámaras para seguridad y otras finalidades (link). Noviembre de 2018.
3. Directrices 3/2019 del Comité Europeo de Protección de Datos (CEPD) sobre el tratamiento de datos personales mediante dispositivos de vídeo – Guidelines 3/2019 on processing of personal data through video devices – (link). Julio de 2019.

De los dos primeros documentos podemos extraer las siguientes conclusiones respecto de los requisitos que ha de cumplir un interesado a la hora de ejercitar un derecho de acceso. Además de escrito en el que se ejercite el derecho de acceso:

1. El interesado ha de hacer constar al Responsable del Tratamiento su identidad.
2. El interesado ha de acompañar su ejercicio de derecho de una imagen actualizada que permita al Responsable del Tratamiento identificar al interesado en sus grabaciones.

Además, de acuerdo con el criterio establecido por el CEPD en sus “Directrices 3/2019” existen una serie de limitaciones al derecho de acceso que el Interesado y le Responsable han de respetar:

1. Afección negativa a los derechos y libertades de terceros. De acuerdo con el art. 15.4 del RGPD, el derecho del Interesado a acceder a una copia de sus datos personales mediante el ejercicio del derecho de acceso “no afectará negativamente a los derechos y libertades de otros”. Como es lógico, puede darse el caso de que en una misma secuencia de grabación aparezcan multitud de interesados. Si, de acuerdo con el artículo 15.3 del RGPD, un interesado solicita una copia de sus datos personales podrían verse afectados los derechos y libertades de terceros. En estos casos debe ser el Responsable el que valore si puede facilitar copia de las grabaciones a la persona que ejerce el derecho sin que este hecho perjudique a los derechos y libertades de terceros. No obstante, este hecho no puede ser utilizado como excusa para no atender a los ejercicios legítimos de derecho de acceso. En este sentido, siempre que sea posible el Responsable deberá recurrir a medidas técnicas, como, por ejemplo, la edición de imágenes, que permitan cumplir con el ejercicio del derecho.

No obstante, esta visión del Comité Europeo de Protección de Datos no coincide de manera plena con la de la Agencia Española de Protección de Datos. La AEPD, a diferencia del Comité, establece en su instrucción 1/2006 que el Responsable puede facilitar “el acceso mediante escrito certificado en el que, con la mayor precisión posible y sin afectar a derechos de terceros, se especifiquen los datos que han sido objeto de tratamiento”. Es decir, omite la posibilidad de modificar las imágenes mediante medidas técnicas y ofrece al Responsable la opción de entregar en vez de las imágenes un documento certificado en el que se describan, con precisión suficiente, los hechos que se pueden observar en la grabación.

2. Imposibilidad de identificar al interesado. Puede darse el caso que el interesado solicite el derecho de acceso a unas imágenes en las que aparezcan multitud de individuos. Por ejemplo, un Interesado que solicita al Responsable de un aeropuerto que le facilite la copia de la grabación de él entrando a las instalaciones un día determinado. En este caso, ya que en un aeropuerto entran al día miles de personas y a través de distintas puertas, podría entrar en juego el art. 11.2 del RGPD que establece que cuando “el responsable sea capaz de demostrar que no está en condiciones de identificar al interesado, le informará en consecuencia, de ser posible. En tales casos no se aplicarán los artículos 15 a 20, excepto cuando el interesado, a efectos del ejercicio de sus derechos en virtud de dichos artículos, facilite información adicional que permita su identificación”.

3. Información adicional que permita la identificación. Siguiendo con el ejemplo del aeropuerto, el interesado debería, a petición del Responsable, “facilitar información adicional que permita su identificación”. En este sentido se le podría exigir al Interesado que, en la medida de lo posible, identifique la puerta por la que accedió al edificio, que establezca un periodo de tiempo razonablemente acotado y que describa sus características personales o indumentaria de tal forma que sea más sencilla su identificación.

4. Solicitudes excesivas. De acuerdo con el art. 12.5 del RGPD, el Responsable puede oponerse o cobrar (un canon razonable) a aquellos interesados que realicen solicitudes de acceso manifiestamente infundadas o excesivas. El RGPD no establece que puede considerarse como excesivo, sin embargo, la LOPD-GDD si establece en su art. 13.3 que “se podrá considerar repetitivo el ejercicio del derecho de acceso en más de una ocasión durante el plazo de seis meses, a menos que exista causa legítima para ello”. Por su parte en el art. 13.4 se dice que “cuando el afectado elija un medio distinto al que se le ofrece que suponga un coste desproporcionado, la solicitud será considerada excesiva, por lo que dicho afectado asumirá el exceso de costes que su elección comporte.”

El Equipo Govertis

EL DNS: EL GRAN OLVIDADO

La AEPD ha publicado recientemente una nota técnica relativa a las implicaciones en la privacidad del uso del Sistema de Resolución de Nombres (Domain Name System o DNS) para concienciar a la ciudadanía respecto a las actividades que desarrollan en internet. A continuación, analizaremos los aspectos fundamentales de la misma:

¿Qué es el DNS?

El DNS es un protocolo que traduce el nombre de un sitio web (por ejemplo “www.aec.es”) por su dirección IP asignada (un código numérico). Permite localizar un sitio en Internet por el nombre sin que los usuarios tengamos que saber en cada momento que IP le corresponde.

¿Cómo funciona?

Cada vez que realizamos una búsqueda en Internet, los equipos realizan consultas a distintos servidores DNS para saber la dirección IP que corresponde al nombre que hemos escrito en el navegador. Para ello utilizan bases de datos que almacenan los nombres de dominios y sus IP.

¿Cómo impacta en la privacidad?

Cuando un ordenador está conectado a una red tiene asignada una dirección IP que identifica al usuario. De esta forma, al navegar por Internet podemos ser fácilmente geolocalizados y revelar qué páginas visitamos. Esto podría dar a conocer hábitos, intereses u opiniones que permiten generar perfiles de los usuarios (como deducir problemas de salud por los tipos de foros, blog o webs en los que participamos).

¿Cuáles son los riesgos?

• Supone el tratamiento de datos por terceros distintos de aquellos que prestan los servicios a los que queremos acceder.
• Los servidores DNS que procesan las búsquedas registran toda la información de las consultas. Podrían estar configurados para guardar dichos registros y utilizar esos datos para infinitas finalidades.
• Las consultas que realiza el dispositivo para averiguar la dirección IP se envían sin cifrar a través de la red, supone un impacto en la confidencialidad.
• La falta de medidas de seguridad podría implicar técnicas de suplantación de DNS, (robo de información, ransomware), ataques al DNS (redirigir a sitios maliciosos, a webs fraudulentas, a servidores controlados por delincuentes)

¿Y las soluciones?

La AEPD propone como solución:

• Los proveedores de DNS deben informar de las condiciones de uso. Se deben seleccionar terceros que ofrezcan garantías suficientes para cumplir con el RGPD.
• Incorporar soluciones de seguridad:

• Utilizar el DNSSEC para aportar integridad y autenticidad en las comunicaciones.
• Cifrar las consultas mediante DNS Over TLS (capacidad de cifrado) y DNS Over HTTPS (enmascara las comunicaciones).

El Equipo Govertis

Guía para pacientes y usuarios de la Sanidad de la AEPD

Durante el mes de noviembre de 2019, la Agencia Española de Protección de Datos ha publicado la Guía para pacientes y usuarios de la Sanidad, una guía esperada en la que se contienen distintas situaciones que se suceden en el sector sanitario y que están relacionadas con la privacidad.

En el presente artículo se describirán los aspectos principales, resumiendo su contenido para que el lector pueda tener una idea rápida de lo que nos transmite este nuevo documento.

Aspectos generales de los datos de salud. La Historia Clínica

Comienza la mencionada Guía recordando la definición de datos personales, que se definen como “toda información sobre una persona física identificada o identificable” y, especialmente, de datos de salud, que implica a “los datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud”.

Prosigue este apartado definiendo la historia clínica como “el conjunto de documentos que contienen los datos, valoraciones e informaciones de cualquier índole sobre la situación y la evolución clínica de un paciente a lo largo del proceso asistencial” y aclarando que en las bases de datos sanitarias podrán existir dos tipos de datos principales: los identificativos y los de salud.

Termina esta pequeña introducción refiriendo que la normativa de protección de datos no contiene el concepto de propiedad de la Historia Clínica, estableciendo, simplemente, que el Responsable del Tratamiento será el médico o centro sanitario (público o privado), que tendrán la labor de elaborarla, custodiarla e implementar las medidas de seguridad oportunas que prevengan su extravío o accesos no autorizados, y que el paciente o usuario tendrá el derecho a acceder a la misma, así como a ejercitar sus derechos en esta materia.

Legitimación para el tratamiento de datos de salud

La cuestión principal de la licitud del tratamiento de datos personales es abordada, en este caso, en las primeras hojas de la Guía, de una forma escueta, respondiendo a la pregunta directa de si ¿es necesario que el médico o el centro sanitario pida el consentimiento al paciente/usuario para recoger y usar sus datos personales?

La respuesta es taxativa, y se establece que NO será necesario el consentimiento para tratar datos “si se van a utilizar para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social”. Estaríamos, por tanto, ante la excepción de la letra h) del artículo 9.2 RGPD.

No obstante, se expone que tampoco será necesario el consentimiento para tratar datos de salud si:

• Se efectúa por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios o la inspección de reclamaciones de los ciudadanos. Por tanto, letra i) del artículo 9.2 RGPD.
• Para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento, o cuando lo solicite un órgano judicial. Letra c) del artículo 9.2 RGPD.

Derecho de información

Transmite aquí la Guía que, a pesar de no requerir el consentimiento para el tratamiento de datos por parte del médico o centro sanitario, sí que es necesario, evidentemente, cumplir con el deber de informar.

La guía, simplemente, recuerda todos los aspectos necesarios para cumplir con este deber, haciendo hincapié en que, cuando los datos personales se obtienen de un tercero, hay que informar al titular de los datos, a la mayor brevedad posible, de los mismos apartados reseñados, así como del origen de sus datos.

Principios en el tratamiento de los datos

En el apartado que la Guía dedica a este asunto, se hace una pequeña revisión de los principios que rigen la materia: Licitud, Lealtad y Transparencia; Limitación de la finalidad; Minimización de datos; Exactitud; Limitación del plazo de conservación e Integridad y Confidencialidad.

A pesar de que dichos principios ya se tienen en cuenta, con carácter general, para el tratamiento de datos personales, la Guía refleja ciertos ejemplos interesantes. A saber:

• En cuanto a la “limitación de la finalidad”, si hemos consentido en la utilización de nuestros datos para fines de una concreta investigación científica (por ejemplo, cáncer de colón) se podrán utilizar para otras investigaciones oncológicas. Esta segunda utilización no se considera incompatible.
• En cuanto a la “conservación”, se especifica que “la historia clínica debe conservarse durante todo el tiempo que se va a prestar asistencia sanitaria; para facilitarlo a los órganos judiciales, si lo solicitan o para efectuar estudios epidemiológicos, docencia e investigación (en este último supuesto, podrían pseudonimizarse, es decir, separar los datos identificativos del paciente de los de salud aunque puedan volver a asociarse si es necesario)”, confirmando también que los datos personales podrán mantenerse más tiempo del necesario siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos.

Derechos

La Guía dedica un par de apartados a los derechos de los interesados, abordando las cuestiones comunes, así como las especialidades de los derechos más importantes: Acceso, Rectificación y Supresión.

Las cuestiones comunes son similares a las reconocidas para el ejercicio de derechos de cualquier tipo de dato de carácter personal. Las más importantes son:

• Plazo: Un mes, prorrogable por 2 meses más.
• Medios electrónicos: Preferencia por estos medios en la respuesta, salvo manifestación en contrario.
• Gratuidad: Ejercicio gratuito salvo peticiones infundadas o excesivas.

En cuanto a las cuestiones específicas de cada derecho, se destacan:

• Derecho de acceso: Se recoge la posibilidad de que los pacientes/usuarios accedan a sus Historias Clínicas, de la misma forma que cada persona puede solicitar el acceso a sus datos personales.

No obstante, se mencionan algunas particularidades a tener en cuenta:

• • El acceso a la Historia Clínica no puede ejercitarse en perjuicio de terceras personas, lo que implica que los facultativos que elaboran y mantienen dichas Historias Clínicas puedan (y deban) utilizar las anotaciones subjetivas como mecanismo para hacer constar todo lo que entiendan oportuno y que afecte a la privacidad de terceros, ya que dichas anotaciones “quedan fuera” del ejercicio del derecho de acceso.

• • Los accesos a Historias Clínicas de pacientes fallecidos sólo se facilitará a las personas vinculadas a él, por razones familiares o de hecho, salvo que el fallecido lo hubiese prohibido expresamente y así se acredite. En cualquier caso, se facilitará el acceso de un tercero a la Historia Clínica motivado por un riesgo para su salud, aunque se limitará a los datos pertinentes.
• • Salvo que una ley lo permita expresamente, el derecho de acceso no incluye la identificación de los profesionales sanitarios que acceden a la Historia Clínica.
• Derecho de rectificación: Es un derecho que se puede solicitar en los mismos términos en los que se ejercita ante cualquier petición de este tipo. No obstante, sí que es necesario tener en cuenta que si la rectificación se refiere a datos sanitarios, es el profesional sanitario el que determina si debe rectificarse el dato o no.
• Derecho de supresión: En el ámbito de la sanidad el derecho a la supresión de datos de la historia clínica está muy limitado siempre que esos datos se estén tratando para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social; o cuando el tratamiento es necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios. Solo el profesional sanitario puede determinar si se puede suprimir el dato de salud.

Preguntas frecuentes

Como viene siendo habitual, la Guía finaliza con una serie de cuestiones que suelen surgir en este ámbito y sector, y que resuelven dudas comunes interesantes.

Se pueden destacar:

1) ¿Puede acceder cualquier persona a la Historia Clínica?

No. El acceso a dicha información por parte del médico o personal del correspondiente centro sanitario deberá atender al criterio de “necesidad de conocer”, siendo que sólo podrá acceder quien lo precise para el ejercicio de su trabajo.

En este sentido, serán sancionables, como ya ha ocurrido previamente, los accesos realizados por curiosidad, para facilitar información a un conocido, etc…

Además, hay que señalar que el profesional sanitario que accede ilícitamente a datos de salud puede incurrir en un delito de descubrimiento y revelación de secretos, previsto y penado en el Código Penal.

2) ¿Se pueden ceder los datos de salud a otras entidades diferentes de las que las han recogido y tratado?

Sí, se pueden ceder si existe legitimación para ello. Un ejemplo es cuando se acude a un médico o a un centro sanitario como usuarios de la sanidad privada (con la tarjeta de la compañía aseguradora), el médico facilita a la entidad la información mínima necesaria para que abone la prestación sanitaria realizada.

3) ¿Se puede informar al empleador acerca de los datos de salud de sus empleados cuando acuden a la revisión de prevención de riesgos laborales?

No. La información que se facilita al empleador es si el trabajador es APTO o NO APTO para el trabajo, o si es Apto y necesita alguna adaptación; pero no le pueden informar de los resultados de las pruebas médicas de sus trabajadores.

4) ¿Pueden facilitar información telefónica a un paciente sobre su estado de salud o el resultado de las pruebas realizadas?

En principio, existiría el riesgo de estar facilitando información a un tercero y, por tanto, por motivos de seguridad debería evitarse. Se podría hacer si existe un protocolo de identificación del solicitante de la información, mediante la solicitud de nombre y apellidos, número de DNI, número de teléfono desde el que llama que coincida con el que facilitó al profesional, dirección de correo electrónico, número de tarjeta sanitaria, etc… Se debería tener la seguridad de que quien solicita la información es el titular de la misma.

El Equipo Govertis

Condición de la Entidades Concesionarias de Servicios Públicos Municipales: ¿Responsables o Encargadas del Tratamiento de Datos Personales?

La Agencia Española de Protección de Datos (AEPD) ha resuelto recientemente, en su Informe 809/2019, una consulta relativa a la posición jurídica que ostentan las entidades concesionarias administrativas de servicios públicos que actúan en la gestión municipal en tareas como el aprovechamiento y explotación de dominio público o las concesiones de agua.

Esta cuestión ya fue analizada por la AEPD en Informes previos, como el Informe 541/2008, donde contempló la posibilidad de que estas entidades asumieran un “doble carácter” en relación con su actuación en materia de protección de datos, pudiendo operar en determinados supuestos como responsables de los tratamientos, en la medida en que podría darse una relación directa entre el adjudicatario y el administrado.

No obstante, en atención a la entrada en vigor de la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, por la que se transponen al ordenamiento jurídico español las Directivas del Parlamento Europeo y del Consejo 2014/23/UE y 2014/24/UE, de 26 de febrero de 2014, que derogó la Ley 30/2007, de 30 de octubre, de Contratos del Sector Público (LCSP), y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), la Agencia vuelve a estudiar este asunto teniendo en cuenta lo dispuesto en las citadas normas.

Para la resolución de la cuestión, parte de lo dispuesto en la Disposición adicional vigésima quinta de la LCSP, que señala que: “Para el caso de que la contratación implique el acceso del contratista a datos de carácter personal de cuyo tratamiento sea responsable la entidad contratante, aquel tendrá la consideración de encargado del tratamiento.”

La Agencia considera que debe poner en conexión el citado precepto con el art. 33.2 de la LOPDGDD: “Tendrá la consideración de responsable del tratamiento y no la de encargado quien en su propio nombre y sin que conste que actúa por cuenta de otro, establezca relaciones con los afectados aun cuando exista un contrato o acto jurídico con el contenido fijado en el artículo 28.3 del Reglamento (UE) 2016/679. Esta previsión no será aplicable a los encargos de tratamiento efectuados en el marco de la legislación de contratación del sector público”.

En base a los mencionados preceptos, la AEPD descarta la consideración de la figura del “responsable del tratamiento” en aquellos supuestos en los que los encargos se efectúen en el marco de la legislación de contratación del sector público.

En definitiva, en la actividad de las empresas concesionarias en el ámbito de la gestión municipal, en tareas tales como el aprovechamiento y explotación de dominio público o las concesiones de agua, nos encontraríamos ante la situación de acceso a datos por cuenta de terceros, que caracteriza a la figura del “encargado del tratamiento”, correspondiendo al responsable del tratamiento la determinación de los fines y medios a utilizar en relación con el tratamiento de datos de carácter personal.

El equipo de Govertis 

II Congreso “Diálogos de DPDs” del Club DPD de la AEC: Un año con la nueva LOPDGDD

El 29 de noviembre se celebró el II Congreso del Club DPD de la Asociación Española para la Calidad (y del que son partners Telefónica y Govertis). Esta vez llevó por título  “Diálogos de DPDs” y en él expertos de primer nivel y DPDs de referencia compartieron su visión, conocimientos y experiencias de éxito tras el primer año de existencia de la LOPDGDD.

Inauguración del Congreso

Para inaugurar esta relevante cita del “club del dato” contamos con Pedro Pablo Pérez, CEO de Elevenpaths, quien tras realizar unas breves reflexiones sobre el estado de la protección de datos presentó todo lo que estaba por venir durante el Congreso.

A continuación, Avelino Brito, Director General de la AEC, presentó la Asociación (y el #ClubDPD_AEC)  y puso el foco en el impacto de las nuevas tecnologías y la inmensa cantidad de datos que se generan en la actualidad, con el consiguiente reto que ello supone para la labor de los DPD.

Conferencia “El Delegado de Protección de Datos: experiencias, retos y oportunidades”

José Luis Piñar Mañas, Catedrático de Derecho Administrativo en la Universidad San Pablo CEU, DPD del Consejo General de la Abogacía Española, y Ex Director General de la AEPD; expuso los retos y oportunidades del DPD tanto desde la perspectiva del RGPD como de la LOPDGDD.

Insistió en la importancia del RGPD y en el hecho inédito de su alcance global a partir de  su extensión de ámbito territorial pues no hay prácticamente país en el que no se aplique a alguna organización.

También recalcó la idea de que el DPD (sea contratado laboralmente o en régimen mercantil) no es nunca “externo” sino que ese rol se incardina dentro de la organización (sin perjuicio de la forma jurídica que se le de). Y no sólo debe de incardinarse organizativamente dentro de ella sino que es fundamental que entre sus conocimientos estén el necesario conocimiento de la actividad de la organización.

José Luis desgranó ciertos aspectos relativos al estatuto básico (posición) del DPD que regula el RGPD y la LOPDGDD, como por ejemplo su cualificación.  Destacó que el DPD pasa a ser una figura imprescindible en el nuevo modelo de protección de datos;  Y citó – como prueba de ello – el artículo 37 de la LOPDGDD que regula su intervención en caso de reclamaciones. Subrayó  la necesidad de realizar ciertas aclaraciones como por ejemplo la incompatibilidad del mismo con la figura del responsable de legal (abogado) en las empresas o por ejemplo la de que el DPD ( a su juicio no es un encargado del tratamiento).

También profundizó sobre el significado del principio de responsabilidad proactiva  y para ello puso un ejemplo muy  gráfico: anteriormente era el legislador quien definía el riesgo, pero actualmente es el “gestor” (responsbale y encargado del tratamiento) quienes lo hacen. “Antes nos decían que podíamos ir a 120 km/h, ahora nos dicen que vayamos a la velocidad adecuada”, explicaba José Luis. Indicó que éste es un cambio de punto de vista muy importante: nuevo modelo es más flexible pero también más incierto.

Y acabó diciendo que tras un año y medio de aplicación del nuevo RGPD éste ha tenido un importante impacto cultural; y que respecto de los DPD en su día a día  en muchas ocasiones se atribuyen tareas al DPD más allá de los “verbos que le asigna” el RGPD: asesorar, supervisar, coordinar etc.

Meda Redonda: Diálogos con DPD

A continuación, se celebró una mesa redonda moderada por Eduard Chaveli, CEO de Govertis, formada por DPDs de diferentes organizaciones:

• Francisco Lázaro Anguis, DPD y CISO de Renfe
• Raquel Sánchez Rodríguez, DPD de la Universidad Francisco de Vitoria
• Irene Benavides Zurera, DPD de Telefónica España
• Jordi Verdú Benavent, DPD del Ayuntamiento de Valencia

Durante la mesa redonda se dio respuesta a dos preguntas de gran relevancia:

• ¿Cuál es la opinión de los integrantes de la mesa sobre el estado de la regulación actual?

Los intervinientes estuvieron de acuerdo en que “en términos generales” la normativa de protección de datos es de calidad, aunque especifícamente, la LOPDGDD se podría haber afinado más y se mencionaron algunos errores en la regulación.

Jordi Verdú menciono como ejemplo de mejoras en la legislación la necesidad de clarificar el interés público como causa de legitimación, y citó algunos ejemplos. Puso de manifiesto la necesidad de que los diferentes  organismos y autoridades públicas con competencias en la materia (particularmente AEPD y CCN) tuvieran una mayor coordinación y complicidad.

Por su parte Irene Benavides insistió en la idea también avanzada por Jordi de que la legislación no parece del todo hecha pensando en el interesado.  Y citó un aspecto especialmente criticable que es la inclusión del título X de  la LOPDGDD no porque no sea necesario (que lo ess) sino por el proceso seguido en su precipitada gestación.

Raquel Sánchez puso el acento en la importancia de la formación en protección de datos y en el hecho de que aunque la nueva LOPDGDD la contempla como obligación su falta de desarrollo convierte esta previsión actualmente en un “brindis al sol”

Francisco Lázaro recogió el testigo de Jordi Verdú y amplió esa necesaria coordinación a otros  actores como INCIBE o CNPIC lo que se visualiza especialmente en materia de gestión de brechas de seguridad.

dav

• ¿Qué dificultades habéis tenido en el cumplimiento de la nueva ley y qué soluciones habéis acometido?

Jordi Verdú habló de las dificultades de recursos necesarios para ejercer este rol que se han ido supliendo y también de la dificultad pero necesidad de tejer alianzas con servicios transversales; y también – como es lógico – en realizar acciones de concienciación y formación en diferentes niveles: Políticos, mandos intermedios y usuarios del sistema de información.

Irene Benavides comentó el reto que ha supuesto en una organización como Telefónica ya el propio hecho de inventariar los tratamientos (más de 1000) y también la realización de los análisis de riesgos y evaluaciones de impactos requeridas sobre ellos. Para ello también insistió en la estrategia apuntada por Jordi de encontrar aliados: “Champions”.  Y citó dificultades como por ejemplo conseguir que el derecho de información sea inteligible y por tanto eficaz sirviendo a los interesados para comprenderlo.

Raquel Sánchez puso foco en un aspecto muy importante: las dificultades para conseguir cumplir con el deber de diligencia en la selección de los encargados del tratamiento y habló de la experiencia  seguridad en la Universidad Francisco de Vitoria.

Francisco Lázaro hizo un  gran repaso de las dificultades mencionadas por algunos compañeros de la mesa para posteriormente apuntar algunos aspectos específicos de Renfe. Por ejemplo esa necesaria coordinación con otras áreas, o por ejemplo el control de los encargados que en Renfe por ser infraestructura crítica tiene una importancia aún mayor derivada no sólo de la protección de datos personales sino de la seguridad de las personas.

Conferencia “ISO 27701:2019. El nuevo estándar en Protección de Datos”

Javier Cao Avellaneda, Lead Advisor en Ciber Riesgos de Govertis, profundizó en la ISO 27701:201, analizando su estructura, dando claves para su implantación y evaluando el futuro de la misma.

Durante la ponencia aclaró términos utilizados en la normativa y fue profundizando en las diferentes cláusulas y en la orientación a objetivos y resultados y SGPD.

Como resumen de la presentación, Javier destacó tres cuestiones relevantes:

• ISO 27.701 supone la formalización de un ciclo PDCA para dar soporte a un sistema de gestión de la privacidad que permite demostrar el cumplimiento del principio de responsabilidad proactiva.
• La nueva norma, supone una extensión de la norma ISO 27.001 y por tanto, implica la implantación del conjunto de controles existentes (114) incluyendo las ampliaciones realizadas sobre 33 de estos controles.
• Incluye además un marco de controles específico para la figura del Responsable del Tratamiento (4 objetivos de control y 31 nuevos controles) y del Encargado de Tratamiento (4 objetivos de control y 18 nuevos controles).

Para finalizar, Javier realizó una encuesta en directo con los asistentes al Congreso sondeando la opinión de los asistentes en relación a como afrontar la certificación de esta norma, si de manera independiente o conjuntamente con las ISO 27001 y 27002.

Conferencia “La privacidad: una aproximación cultural”

Por último, Antonio Muñoz Marcos, Director de Oficina DPD de Telefónica, impartió una conferencia con su visión de  la privacidad desde un punto de vista cultural. Antonio señalaba que cumplir adecuadamente con el reglamento requiere reflexionar sobre el impacto de la privacidad desde un punto de vista más amplio, pues la privacidad emana de las reglas culturales. En la nueva sociedad los datos fluyen y se genera un nuevo modelo por lo que la aproximación cultural a la privacidad requiere una reflexión por nuestra parte sobre la privacidad.

Agradecimientos

Para finalizar el Congreso, Alberto González, Gestor del Club DPD de la AEC hizo un resumen de la jornada y agradeció la colaboración a nuestros partners Telefónica y Govertis, así como a los ponentes que participaron en el evento, y dio las gracias a los asistentes por acompañarnos en esta relevante cita con la protección de datos.

¿Te gustaría asistir a los próximos encuentros? ¡Apúntate al Club DPD!

ELISA ¿Habéis oído hablar de ella? ¿Conocéis a ELISA?

Recientemente, el Centro Criptológico Nacional (CCN) ha publicado una nueva herramienta, dedicada a la monitorización de fuentes abiertas y al perfilado de medios y entidades en redes sociales, para permitirnos incrementar la cibervigilancia. Con esta herramienta, no mejoramos directamente nuestra seguridad, pero sí que nos hace conocedores del flujo de cierta información, y de ese modo, poder tomar las medidas oportunas para incrementar la ciberseguridad.

Antes que nada, vamos a aclarar algunos conceptos para poder entender la aplicación de esta solución. Todos conocemos qué son las redes sociales y cómo funcionan, pero ¿qué sabemos de las fuentes abiertas? Las fuentes abiertas no es sólo Internet, no necesariamente deben tener un soporte tecnológico, y aunque hablemos de ciberseguridad, no las encontramos exclusivamente en formato digital. Tampoco debemos confundir la información que tiene valor con la que es de carácter secreto o confidencial, sin tener en cuenta toda la información que es abierta y esta publicada sin nuestra aprobación y sin nuestro conocimiento.

¿Qué son las fuentes abiertas?

Fuentes abiertas son todo documento con cualquier contenido, con independencia del soporte (papel, fotográfico, magnético…), del medio de transmisión (sonoro, audiovisual, impreso…), o del modo de acceso: digital o no, pero puesto siempre a disposición del público. Algunos ejemplos de fuentes abiertas pueden ser: una agencia de noticias, una enciclopedia, un blog, un anuario, una monografía, una conferencia de prensa, una charla divulgativa, una publicación científica, un canal RSS, una legislación, las emisiones de radio y televisión, y un largo etcétera.

La prevención en temas de ciberseguridad, nunca es suficiente, si tenemos en cuenta el valor de la información que puede ser alterada. Por ello, hacer uso de cuantas herramientas dispongamos en el mercado, siempre será recomendable y la llegada de ELISA se une al conjunto de estas herramientas, por lo que aconsejamos hacer un buen uso de la misma.

Esta herramienta cuenta con una base de datos normalizada para el intercambio de información y explotación de los datos a través de indicadores de confianza. Estos datos son analizados, permitiendo realizar un seguimiento e interpretación de lo que sucede en el ciberespacio, y con ello crear una prospectiva digital. Con ELISA, podemos definir marcadores preventivos, indicadores de presencia y las características necesarias que permitan identificar, de un modo anticipado, consensuado y basado en la evidencia, de las amenazas que puedan aparecer por el ciberespacio.

Para poder hacer uso de esta aplicación, es necesario estar registrado en el portal CCN-CERT, y una vez completado este paso, solicitar acceso a la misma, justificando el motivo por el cual se requiere su uso.

Además de ELISA, recordar que también se dispone de otras muchas aplicaciones facilitadas por el Centro Criptológico Nacional y por otros portales, que nos pueden ser de gran utilidad para controlar nuestro entorno digital, pudiendo detectar amenazas, prevenir intrusiones, y por lo tanto, estar más seguros.

El Equipo de Govertis 

Sistemas de información de denuncias internas y protección de datos

El establecimiento de canales de denuncia internos es cada vez más común en las empresas. La proliferación de estos se justifica, principalmente, en que uno de los requisitos que el Código Penal español establece a los sistemas de Compliance para permitir que la persona jurídica quede exenta de responsabilidad penal es el de imponer la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención. Sin duda, el numero de estos sistemas aumentará considerablemente en el momento en que se transponga la Directiva ‘whistleblowing’, la cual generaliza la implantación de canales internos de denuncia y exige su creación tanto a las autoridades de cada país como a todas las empresas con más de 50 trabajadores, sean públicas o privadas.

Estos canales de denuncia tienen relevancia en materia de protección de datos, en cuanto van a tratar datos sensibles y/o que podrían tener un alto impacto en los interesados. A este respecto, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, los ha tenido en cuenta, regulando los siguientes aspectos sobre estos:

a) Causas de licitud

El PREÁMBULO establece que en los sistemas de denuncias internas la licitud del tratamiento proviene de la existencia de un interés público, en los términos establecidos en el artículo 6.1.e) del Reglamento (UE) 2016/679.

Por su parte, el artículo 24 establece la licitud de la creación y mantenimiento de sistemas de información a través de los cuales pueda ponerse en conocimiento de una entidad de Derecho privado, incluso anónimamente, la comisión en el seno de la misma o en la actuación de terceros que contratasen con ella, de actos o conductas que pudieran resultar contrarios a la normativa general o sectorial que le fuera aplicable.

b) Deber de información.

Se establece la obligatoriedad de informar a los empleados y terceros sobre la existencia de estos sistemas de información.

c) ¿Quién puede acceder a la información contenida en los sistemas de información de denuncias internas?

El acceso a la información a los datos de estos sistemas de denuncia se debe limitar a quienes, independientemente de si forman o no parte de la entidad, desarrollen las funciones de control interno y de cumplimiento o a los encargados del tratamiento que eventualmente se designen a tal efecto.

También será lícito el acceso por otras personas, o incluso su comunicación a terceros, cuando resulte necesario para la adopción de medidas disciplinarias o para la tramitación de los procedimientos judiciales que, en su caso, procedan.

En el caso de que pudiera proceder la adopción de medidas disciplinarias contra un trabajador, se permitirá acceder a esta información al personal con funciones de gestión y control de recursos humanos.

d) Cesiones de datos

Los datos obtenidos a través del sistema de denuncias internas podrán ser comunicados a la autoridad competente de hechos constitutivos de ilícito penal o administrativo.

e) Medidas de seguridad

Deben adoptarse las medidas de seguridad necesarias que permitan preservar la identidad y garantizar la confidencialidad de los datos correspondientes a las personas afectadas por la información suministrada, especialmente la de la persona que hubiera puesto los hechos en conocimiento de la entidad, en caso de que se hubiera identificado. Como vemos, la norma autoriza las denuncias anónimas.

f) Plazo de conservación

Los datos del denunciante y de los empleados y terceros a los que afecte la denuncia se deben conservar en el sistema de denuncias exclusivamente durante el tiempo imprescindible para decidir sobre la procedencia de iniciar una investigación sobre los hechos denunciados.

En cualquier caso, transcurridos 3 meses desde la introducción de los datos se deben suprimir los datos del sistema de denuncias, salvo que se quieran conservar como evidencia del funcionamiento del Sistema de Gestión de Compliance Penal.

Los datos podrán seguir siendo tratados, por el órgano competente, para investigar los hechos denunciados, no conservándose en el sistema de información de denuncias internas.

Estas premisas son igualmente aplicables a los sistemas de denuncias internas que pudieran crearse en las Administraciones Públicas.

El Equipo Govertis