PROGRAMA CLIENTES

Cuidamos a nuestros clientes

¡Lo más vendido!

Sección Cosmética Solar


________________________

Sección Cosmética Corporal




LEY DE PROTECCIÓN DE DATOS

Ley de protección general de datos:

En cumplimiento de lo dispuesto en la Ley Orgánica 15/1999 de 13 de Diciembre, de Protección de Datos de Carácter Personal, nuestros clientes podrán en todo momento ejercitar los derechos de acceso, rectificación, cancelación y oposición, comunicándolo por teléfono o por correo a VENTAPROESTÉTICA.COM.

1) Obligaciones y deberes (del responsable del fichero)

En primer lugar voy a examinar brevemente los principales y más característicos deberes que la LOPD hace recaer sobre el responsable del fichero, convirtiéndose los mismos en auténticos derechos, obligaciones cuyo cumplimiento puede reclamar el interesado o afectado como auténticas garantías previstas para proteger su privacidad.

a) Obligaciones respecto a la calidad de los datos

Los datos personales sólo podrán ser recogidos y tratados cuando los mismos sean adecuados, pertinentes y no excesivos respecto de la finalidad o finalidades que justificaron su recogida, no pudiendo ser utilizados para fines distintos o incompatibles con aquellos. Esta obligación de calidad engloba, a su vez, diferentes aspectos como la pertinencia, exactitud y veracidad, así como la cancelación de los datos. La pertinencia supone que la recogida de datos personales relativos a salud debe estar justificada, así como el tratamiento de los mismos. En concreto, "...ha de mediar una nítida conexión entre la información personal que se recaba...y el legítimo objetivo para el que se solicita..." y "...toda información que las Administraciones públicas recojan y archiven (p.e. datos de salud de personas físicas) ha de ser necesaria para el ejercicio de las potestades que les atribuye la ley, y adecuada para las legítimas finalidades previstas en ella..." . Siempre que dicha finalidad no se agote o cumpla, podrá continuarse con el tratamiento de los datos, ya que si la finalidad que justificó la recogida y el tratamiento se ha agotado o cumplido, los datos deberán ser cancelados. La exactitud se traduce en la necesidad de que los datos sean actuales y veraces, que se ofrezca una información de la realidad vital del interesado, de modo que un cambio o inexactitud en los mismos obliga a su actualización, bien de oficio (siempre que el responsable del fichero tenga conocimiento de dicha inexactitud), bien a instancia de parte (es decir, cuando es el propio interesado o afectado el que comunica al responsable del fichero que sus datos no son exactos y que deben ser rectificados, en cuyo caso, el responsable del fichero no podrá alegar desconocer la falta de exactitud y deberá proceder a su corrección). Y la cancelación implica que todos aquellos datos que no sean necesarios para la finalidad que justificó la recogida o el tratamiento, o que no estén actualizados, deberán ser eliminados del fichero.

b) Deber de obtener el consentimiento

Ya se mencionó anteriormente que uno de los elementos formales que hacían posible al nacimiento de la relación jurídica objeto de protección por la LOPD era el consentimiento y que, como regla general, se exige el consentimiento inequívoco del interesado o afectado a la hora de recoger sus datos de carácter personal, para que dichos datos puedan ser objeto de tratamiento, consentimiento que puede ser tácito o expreso. Y, salvo en los casos en los que la LOPD exige consentimiento expreso (artículo 7 LOPD), la regla general es el consentimiento inequívoco, pudiendo este ser tácito.

La obtención del consentimiento del interesado o afectado, necesario para que pueda llevarse a cabo el tratamiento de los datos personales, ha de ser previa a dicho tratamiento, previendo el texto de la ley la posibilidad de que dicho consentimiento pueda ser revocado por la persona que lo otorgó, si bien la revocación no tendrá, en ningún caso, efectos retroactivos.

Sin embargo, el artículo 6 LOPD, que es donde se recoge el principio general de obtención del consentimiento del interesado, así como otros preceptos, recogen una serie de supuestos en los que podrá prescindirse del consentimiento del afectado para llevar a cabo el tratamiento de los datos, como por ejemplo, cuando la recogida de los datos personales se efectúe por las Administraciones públicas para el ejercicio de sus funciones propias y en el ámbito de sus competencias, o cuando dicha recogida esté expresamente prevista en una disposición legal.

El legislador, consciente de la peligrosidad que puede suponer el autorizar tratamientos de datos sin necesidad de contar con el consentimiento del interesado, prevé, en todo caso, que en los supuestos en los que el tratamiento de los datos no precise el consentimiento del interesado, este podrá oponerse al mismo, siempre que existan motivos legítimos y fundados, garantía que posibilita que la privacidad de los individuos no quede absolutamente al descubierto.

Nos encontramos con que la LOPD hace especial hincapié en un tipo de tratamiento de datos personales que es la comunicación o cesión de los datos a terceros. Por ser un tipo de tratamiento, resulta de aplicación el criterio general de todo tratamiento, que es la necesidad de solicitar previamente el consentimiento del interesado, tras haber cumplido el responsable del fichero con la obligación de informar al interesado o afectado de determinados extremos sobre el alcance de la cesión. Y también se recogen una serie de excepciones en virtud de las cuales la cesión de los datos personales podrá realizarse sin consentimiento del interesado. De igual forma, también prevé la LOPD, como garantías, la nulidad del consentimiento prestado (cuando el responsable del fichero no haya cumplido con sus deberes) y la revocabilidad del mismo (aunque sin efecto retroactivo respecto de las cesiones que ya se hubiesen llevado a cabo).

c) Deber de inscripción del fichero

Sobre el titular del fichero, ya sea este de titularidad pública, ya sea de titularidad privada, pesa el deber de inscripción del mismo, teniendo dicha inscripción un carácter exclusivamente declarativo, pero en ningún caso implica una valoración o fiscalización de la información que se facilita, por lo que con el registro no se obtiene ninguna declaración respecto de la legalidad del tratamiento ni puede implicar una exención de responsabilidad. Ahora bien, la inscripción del fichero el alcance de este deber varía según que el fichero sea de titularidad pública o privada, debiéndose distinguir:

- Ficheros de titularidad privada: Siempre se inscriben en el Registro General de la Protección de Datos, dependiente de la Agencia de Protección de Datos.

- Ficheros de titularidad pública: En este caso hay que distinguir si son ficheros titularidad de Administraciones públicas estatales, en cuyo caso la inscripción deberá realizarse en el Registro General de la Protección de Datos, o si los ficheros corresponden a Administraciones públicas autonómicas, en cuyo caso deberán inscribirse en las "Agencias de Protección de Datos autonómicas" siempre que estas hayan sido creadas (hasta la fecha, sólo ha sido creada la Agencia de la Comunidad Autónoma de Madrid).

d) Deber de información en la recogida de los datos

Otro importante deber que el responsable del fichero debe cumplir, en el momento de efectuarse la recogida de los datos personales, es el relativo al deber de información, conforme al cual el responsable del fichero deberá informar al interesado o afectado, como mínimo y de forma expresa, precisa e inequívoca, de la existencia del fichero, del tratamiento que se vaya a realizar con los datos recogidos, la finalidad de la recogida, el carácter obligatorio o facultativo de las respuestas y las consecuencias de la obtención de los datos o su negativa a suministrarlos, los derechos que asisten al interesado, así como de la identidad del responsable del fichero y la dirección donde poder ejercer los derechos reconocidos. Se trata de un deber inexcusable que se convierte en una garantía más y que supone un reflejo del espíritu de lealtad y buena fe que debe regir las relaciones entre el responsable del fichero y los afectados

"Las facultades precisas para conocer la existencia, los fines y los responsables de los ficheros dependientes de una Administración pública donde obran datos personales de un ciudadano son absolutamente necesarias para que los intereses protegidos por el artículo 18 de la Constitución, y que dan vida al derecho fundamental a la intimidad, resulten real y efectivamente protegidos" . Por lo tanto, el deber de información se convierte en un deber inexcusable, independientemente del tipo de fichero y del responsable del tratamiento.

Ahora bien, puede ocurrir que los datos personales no hayan sido recabados directamente del interesado (por ejemplo, si los datos se han obtenido de fuentes accesibles al público), en cuyo caso el responsable del fichero cuenta con un plazo de tres meses, contados desde la fecha del registro, para informar al interesado de la procedencia de los datos y de los términos que se indican en el artículo 5.4º LOPD. Este deber sólo podrá ser excepcionado cuando una ley así lo prevea, cuando el tratamiento tenga fines históricos, estadísticos o científicos o cuando el cumplimiento del deber de información al interesado resulte imposible o exija un esfuerzo desproporcionado, a criterio de la Agencia de Protección de Datos, en consideración al número de interesados o a la antigüedad de los datos. Un caso el que podría solicitarse la autorización de la Agencia de Protección de Datos pudiera ser la exención de las Oficinas de Farmacia (en cuanto responsables del tratamiento de datos personales de médicos prescriptores de recetas médicas) de informar a éstos de la existencia del fichero, por tratarse de un amplio número de interesados, teniendo en cuenta que pueden existir Oficinas de Farmacia que vengan utilizando sistemas informáticos con anterioridad a la entrada en vigor de la LOPD y que posean datos de una cierta antigüedad, lo que justificaría la solicitud de la exención del deber de informar a que se refiere el artículo antes indicado.

e) Deber de adoptar medidas de seguridad

Uno de los puntos clave en torno a los cuales gira la normativa de protección de datos es el relativo a la seguridad de los datos recogidos en ficheros, con el objeto de garantizar la intimidad de los individuos. Por ello fue aprobado el Reglamento de Medidas de Seguridad (RD 994/1999), donde se regulan las medidas de índole técnico y organizativas que deben ser adoptadas en los ficheros automatizados de datos. En cuanto a los ficheros y tratamientos no automatizados preexistentes, la LOPD prevé un régimen transitorio durante el cual no existe obligación de adecuarse a la ley hasta el 24 de octubre de 2007.

En el Reglamento de Medidas de Seguridad se distinguen tres tipos distintos de datos, en función de la mayor o menor sensibilidad de los datos que sean objeto de tratamiento, distinguiéndose igualmente tres niveles de medidas de seguridad: nivel básico, nivel medio y nivel alto. Las medidas de seguridad tienen carácter acumulativo, debiéndose adoptar las medidas correspondientes al nivel de seguridad que se trate, así como las correspondientes a los niveles inferiores. De esta manera, todos los ficheros han de cumplir las medidas correspondientes al nivel básico; estas y las correspondientes al nivel medio han de ser adoptadas en los ficheros que contengan datos relativos a la comisión de infracciones administrativas, penales, Hacienda Pública y servicios financieros; y las medidas de nivel alto, junto con las de nivel medio y nivel básico, han de ser adoptadas en los ficheros que contengan datos de ideología, religión, creencias, origen racial, salud o vida sexual (entre otros).

Serán el responsable del fichero y, en su caso, el encargado del tratamiento, los que resultan obligados a adoptar, en todo caso, las medidas de seguridad correspondientes al nivel básico y, según corresponda, las medidas de seguridad de nivel medio y alto. Todo fichero de datos personales debe tener adoptadas las medidas de seguridad del nivel correspondiente al tipo de datos existentes en dicho fichero, de conformidad con lo dispuesto en el Reglamento.

f) Deber de guardar secreto

Entre las distintas obligaciones que la normativa obliga a cumplir al responsable del fichero, encargados de tratamientos y responsables de seguridad, el deber de guardar secreto es un deber que se configura con el carácter de esencial y elemental, alcanzando a todo aquel que intervenga en cualquier fase del tratamiento.

Dice la LOPD que el responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos..., obligación que subsiste incluso terminada la relación con el titular del fichero o el responsable del mismo.

La definición de la LOPD deja entrever una obligación de amplio alcance, que pretende abarcar a todo aquel que haya intervenido en cualquier fase del tratamiento, extendiéndose incluso una vez terminada y extinguida la relación jurídica que dio lugar al tratamiento de los datos. La no fijación de un plazo temporal concreto, respecto de la persistencia de la obligación de guardar secreto una vez extinguida la relación, obliga a determinar dicho plazo en función de la mayor o menor sensibilidad de los datos, así como la mayor o menor importancia de los mismos, extendiéndose el deber de sigilo y secreto durante un período de tiempo en el que los derechos e intereses del interesado o afectado puedan verse dañados si dicho deber de secreto resulta vulnerado o infringido.

El deber de secreto es una garantía que no sólo está reflejada en la LOPD, sino que también se recoge en otras normas de carácter sectorial (p.e. artículo 61 de la Ley General de Sanidad, artículo 9 del Real Decreto de Receta Médica y otras normas del sector sanitario, por ejemplo) y su infracción se encuentra expresamente sancionada penalmente en el artículo 199 de la Ley Orgánica 10/1995, de 23 de noviembre, de Código Penal, donde se castigan las conductas dirigidas a revelar secretos ajenos, incumpliendo la obligación de sigilo y reserva por parte del que lleva a cabo dicha conducta típica. También la LOPD tipifica como infracción grave o muy grave (según la sensibilidad de los datos a los que alcance) la infracción del deber de secreto.

 

g) Obligaciones respecto de la cesión de los datos

Ya se hizo referencia, a propósito de los elementos formales y del deber de obtener el consentimiento, que la cesión de los datos no era sino un tipo de tratamiento, sobre el que la LOPD hace un especial hincapié, indicando, como regla general, que los datos sólo podrán ser comunicados a un tercero, para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y cesionario, con el previo consentimiento del interesado, por lo que, una vez más, el consentimiento se revela como requisito fundamental para la legitimidad de la comunicación de los datos, además de los indicados en la LOPD.

Entre las excepciones en las que puede prescindirse de dicho consentimiento, la LOPD señala las siguientes: cuando una ley lo autorice expresamente; cuando se trate de datos obtenidos de fuentes accesibles al público; cuando el cesionario de la información sea alguno de los órganos indicados en el mencionado artículo; y/o cuando la cesión tenga lugar entre Administraciones públicas y tenga por objeto un trato de los datos con fines históricos, estadísticos o científicos, entre otros.

Igualmente, la LOPD prevé que si la cesión o comunicación de los datos va precedida de un procedimiento de disociación (consistente separar los datos personales de la persona a la que se refiere, de manera que no sea posible asociar unos datos determinados a una persona física determinada, convirtiéndose dichos datos en mera información), no sería necesario obtener el consentimiento del interesado o afectado para efectuar esa cesión o comunicación. Ahora bien, el procedimiento de disociación es un tipo de tratamiento, por lo que deberá ser realizado por el responsable del fichero o por el encargado del tratamiento.

E, igualmente, como regla general, aunque con posibilidad de ser excepcionada, la LOPD indica que el responsable del fichero, en el momento de efectuar la primera cesión de los datos, deberá informar de ello a los interesados, así como de otros extremos relativos a la cesión (finalidad del fichero al que se ceden los datos, naturaleza de los datos cedidos así como una identificación del cesionario). Una vez más, la regla general podrá ser exceptuada en los supuestos que, de forma excepcional, la LOPD prevé (cesión autorizada o impuesta por ley; derivada de una relación jurídica cuyo cumplimiento implique necesariamente la cesión; cuando los destinatarios sean determinados Organismos Públicos; cuando la cesión se produzca entre Administraciones públicas y se prevea el tratamiento de los datos con fines históricos, científicos o estadísticos; cuando la cesión vaya precedida de disociación).


2) Derechos (del afectado o interesado)

Examinadas e indicadas las principales obligaciones que pesan sobre el responsable del fichero, y que constituyen parte del contenido de la relación jurídica que aquí se comenta, a continuación paso a examinar los derechos de los que goza el interesado o afectado para hacer efectivo el mandato de la LOPD y cuyo ejercicio supone, al mismo tiempo, una obligación para el responsable del fichero.

Con carácter general, voy a examinar los derechos que de forma más determinante inciden en la persona del interesado o afectado.

a) Impugnación de valoraciones

Este primer derecho reconocido a los titulares de datos personales está directamente relacionado con el deber de informar de la finalidad de la recogida de los datos, ya que si estos han sido recogidos, por ejemplo, para realizar una campaña publicitaria o para realizar un estudio socio-económico, no resultado ajustado a la ley que el titular del fichero o terceros sujetos que hayan podido acceder a los mismos, examinando dichos datos, puedan realizar un juicio de valor de donde resulte una decisión con efectos jurídicos (tanto para actos privados como actos administrativos), especialmente si dicha decisión les afecta de forma negativa. Así, el acceso a un puesto de trabajo o la obtención de un crédito bancario, por ejemplo, no puede depender exclusivamente de una valoración de datos personales previamente facilitados, pudiendo ser impugnadas las decisiones que se hubiesen tomado al respecto.

En efecto, para garantizar que la personalidad de los interesados o afectados no sea objeto de valoraciones que hayan podido ser realizadas a partir de sus datos personales, la ley señala que los ciudadanos tienen derecho a no verse sometidos a una decisión con efectos jurídicos, sobre ellos o que les afecte de manera significativa, que se base únicamente en un tratamiento de datos destinados a evaluar determinados aspectos de su personalidad, pudiendo ser impugnadas las decisiones administrativas o privadas que hayan sido tomadas sobre la base exclusiva de valoraciones automáticas del perfil obtenido de sus datos personales. Ello quiere decir que las valoraciones sobre el comportamiento o personalidad de las personas que sean realizadas exclusivamente sobre la base de datos personales no resultan ajustadas a la ley y pueden ser impugnadas, si bien será un derecho a menudo difícilmente ejercitable por la dificultad de probar esas valoraciones ilegales.

b) Consulta al Registro General de Protección de Datos

Esta consulta, que será pública y gratuita, tiene por objeto permitir al interesado o afectado entrar en conocimiento de los datos personales que se poseen respecto de su persona, el tipo de tratamiento que se hace de los mismos, la finalidad... apreciándose, en su ejercicio, un carácter accesorio del ejercicio de los derechos de acceso, rectificación y cancelación.

c) Derechos de acceso, rectificación, cancelación y oposición

Sin duda alguna, los derechos de acceso, rectificación y cancelación son los tres derechos más importantes con los que cuenta el interesado para hacer efectivas, en gran medida, muchas de las obligaciones que recaen sobre el responsable del fichero, constituyéndose en garantías incuestionables del interesado.

El derecho de acceso se manifiesta en la posibilidad que tiene el interesado de conocer el alcance y consecuencias de la tenencia de datos personales que a él se refieren; el derecho de rectificación es la posibilidad que tiene el interesado para hacer efectivo el principio de calidad de los datos y garantizar una adecuación de los mismos a la realidad, haciendo posible la exactitud y actualidad de los mismos; el derecho de cancelación es el que reconoce a los interesados la posibilidad de solicitar la eliminación de sus datos personales, cuando el interesado o afectado desea que se ponga fin al tratamiento de sus datos personales; y el derecho de oposición, que se configura como una variante del derecho de cancelación, ya que reconoce al interesado la posibilidad de negarse a que continúe el tratamiento de sus datos personales (similar al derecho de cancelación), pero con la especialidad de que está previsto para aquellos casos en los que, de forma excepcional, la LOPD u otros textos hubiesen autorizado que dicho tratamiento pudiera llevarse a cabo sin el consentimiento del interesado. Sólo se hace mención a este derecho en los artículos 6.4º y 30.4º LOPD.

Con carácter gratuito, el interesado tiene derecho a obtener información de sus datos personales sometidos a tratamiento, el origen de dichos datos y las comunicaciones realizadas o que se prevean hacer de los mismos. Este derecho, junto con los derechos de modificación, rectificación y cancelación, se convierten en garantías para que los intereses protegidos en el artículo 18 de la Constitución queden real y efectivamente protegidos. Por ello, "...dichas facultades...forman parte del contenido del derecho a la intimidad, que vincula a todos los poderes públicos y han de ser salvaguardadas por el Tribunal Constitucional, hayan sido o no desarrolladas legislativamente" . Además, "...si el acceso (y, por extensión, el resto de los derechos) no se realiza con estricta observancia de las normas que lo regulan, se vulnera el derecho a la intimidad" . Es decir, que los derechos de acceso, rectificación, modificación y cancelación son parte del contenido esencial del derecho a la protección de los datos personales, como garantías fundamentales para los interesados, cuya limitación o vulneración legitiman al titular para el ejercicio de las correspondientes acciones judiciales.

Los derechos que ahora se comentan se reconocen con un carácter personalísimo del interesado, de forma que sólo pueden ser ejercitados por sí mismo ante el responsable del fichero, salvo que se encuentre en situación de incapacidad o minoría de edad, en cuyo caso podrán ser ejercitados por su representante legal. El derecho de acceso no es un derecho de carácter absoluto, que pueda ejercitarse en todo momento y sin condiciones, pues sólo podrá ser ejercitado a intervalos no inferiores a doce meses, salvo que el interesado acredite un interés legítimo, en cuyo caso podrá ejercitarlo antes, y la información que se facilite se limitará a la existencia o no del tratamiento, la finalidad, categorías de datos, origen de los mismos y comunicaciones realizadas o que se prevean realizar. Además, para el caso de ficheros de titularidad pública se recoge una excepción al ejercicio de este derecho de acceso (en el artículo 14 del RD 1332/94), pues el ejercicio de dicho derecho podrá ser impedido en caso de que pueda existir un interés público en mantener en secreto el contenido del tratamiento y siempre que medien razones de interés y orden público.

De igual forma, el responsable del tratamiento tendrá la obligación de hacer efectivo el derecho de rectificación o cancelación del interesado en el plazo de 10 días. Ahora bien, para lograr la eficacia de este derecho, el interesado, además de manifestar el carácter erróneo o incompleto de los datos, deberá acreditar dichos términos y comunicar la corrección que debe realizarse, a menos que el responsable del fichero no exija dicha acreditación.


d) Derecho de indemnización

A pesar de las previsiones legislativas y de los esfuerzos de la Agencia de Protección de Datos por que se cumpla, con el mayor rigor posible, el texto y las obligaciones de la ley, ello no impide que se lleven a cabo actividades y tratamientos de datos que, en todo o en parte, infringen todos o algunos de los derechos cuya titularidad ostentan los interesados y frente a las cuales es necesario arbitrar procedimientos y mecanismos para conseguir, con la mayor brevedad posible, una restauración del estatus jurídico en el que los interesados puedan confiar plenamente a la hora de autorizar el tratamiento de sus datos personales.

Por ello, para el caso de que se produzca un incumplimiento de las previsiones legislativas por parte del responsable o del encargado del tratamiento, derivándose un daño o lesión para los intereses del afectado o interesado, la LOPD reconoce a este último el derecho a ser indemnizado de los perjuicios que el incumplimiento le hubiese podido causar, surgiendo nuevamente una dificultad añadida, cual es la de valorar los perjuicios que efectivamente se hayan podido causar, ya que el derecho de indemnización se concreta en una indemnización económica de daños y perjuicios. Para el caso de que se trate de ficheros de titularidad pública, deberá observarse el régimen de responsabilidad de las Administraciones públicas y tratándose de ficheros de titularidad privada, las acciones se ejercerán ante los órganos de la jurisdicción ordinaria.

e) Tutela de la Agencia de Protección de Datos

En último lugar, el texto de la LOPD configura un sistema de protección y tutela de los derechos y garantías reconocidos a los interesados o afectados, sistema cuya eficacia, aplicación e interpretación se deja en manos de la Agencia de Protección de Datos. Dicha Agencia debe velar, por un lado, por una correcta actuación de los distintos operadores y sujetos intervinientes y, por otro, por el respeto a los derechos de las personas. En el primer caso, la Agencia de Protección de Datos cumple una función de policía que le permite actuar de oficio en virtud de un mandato legal, no siendo necesario que exista una víctima o perjudicado. Si embargo, en el segundo caso, la intervención siempre requiere la existencia de un particular, víctima de un incumplimiento de las garantías legales, que comunique, mediante denuncia, dicha circunstancia a la Agencia, la cual intervendrá con el objeto de corregir y sancionar, si procede, la desviación apreciada.

Este sistema de protección tiene por objeto establecer límites al uso de los datos personales, de la información sobre la vida de las personas, especialmente cuando se lleva a cabo un tratamiento de los datos utilizando y explotando las posibilidades técnicas que ofrecen las nuevas tecnologías, de forma que no se vea vulnerada la intimidad de las personas.