viernes, 14 de febrero de 2014

LEY DE PROTECCIÓN DE DATOS - EL CONSENTIMIENTO DEL AFECTADO

Aviso. El contenido de esta web tiene un carácter meramente informativo, podría estar incompleto y carece de validez jurídica alguna. El uso que se haga del contenido de esta web es responsabilidad exclusiva del usuario.

 Sumario

 

 ¿Que es el consentimiento del afectado?

 


El consentimiento del afectado es uno de los nueve principios a través de los cuales el título II de la » Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (Lopd) establece las condiciones en que se deben recoger, tratar y ceder los datos de carácter personal para salvaguardar la intimidad y demás derechos fundamentales de los ciudadanos.

La Lopd define el consentimiento del afectado como “toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen” (artículo 3.h), y, establece como condición general que “el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa” (artículo6.1)

Por lo tanto, en aplicación de ambos artículos, podemos decir que el responsable del fichero solamente podrá tratar los datos de carácter personal de las personas físicas si se da alguna de las siguientes circunstancias:
 
  • Si dispone del consentimiento del titular de los datos y este ha sido obtenido adecuadamente (manifestación de voluntad, libre, inequívoca, específica e informada).
  • Si está amparado por una ley que, de manera excepcional, le autorice a tratar los datos sin necesidad de contar con el consentimiento del afectado.
 

 Regulación legal del consentimiento

Básicamente, el consentimiento del afectado se encuentra regulado en las siguientes normas jurídicas:
  • Ley orgánica de protección de datos. Artículo 3.h y artículo 6 de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (Lopd),
  • Reglamento Lopd. Artículos 12 a 17 del Reglamento que desarrolla la Lopd (Real Decreto 1720/2007).
 

 Requisitos de validez del consentimiento

Para que el consentimiento del afectado sea legalmente válido tiene que haber sido prestado a través de una manifestación de voluntad libre, inequívoca, específica e informada, características que tal y como establece la Agencia Española de Protección de Datos , deben interpretarse de la siguiente manera:

 


  • El consentimiento debe ser libre. El consentimiento del afectado deberá haber sido obtenido sin la intervención de vicio alguno del consentimiento en los términos regulados por el Código Civil, (según el cual será nulo el consentimiento prestado por error, violencia, intimidación o dolo).
  • El consentimiento debe ser inequívoco. No resulta admisible deducir el consentimiento de los meros actos realizados por el afectado (consentimiento presunto), siendo preciso que exista expresamente una acción (consentimiento expreso) u omisión (consentimiento tácito) que implique la existencia del consentimiento.
  • El consentimiento debe ser específico. El consentimiento debe prestarse referido a una determinada operación de tratamiento y para una finalidad determinada, explícita y legítima del responsable del tratamiento, tal y como impone el artículo 4.2 de la Ley Orgánica 15/1999, » ver el principio de calidad de los datos.
  • El consentimiento debe ser informado. Para que el consentimiento sea válido es preciso que el afectado conozca con anterioridad al tratamiento la existencia del mismo y las finalidades para las que el mismo se produce. Precisamente por ello el artículo 5.1 de la Ley Orgánica impone el deber de informar a los interesados de una serie de extremos que en el mismo se contienen,» ver el deber de información en la recogida de datos.
 
 

 Forma de obtener el consentimiento

De manera general, el consentimiento del afectado para el tratamiento de sus datos personales puede obtenerse de forma “expresa” o “tácita”, sin embargo, cuando el tratamiento se refiera a los datos considerados como » “datos especialmente protegidos” el consentimiento debe ser obtenido en las condiciones previstas en el artículo 7 de la Ley Orgánica de Protección de datos (Lopd).

 


  • El Consentimiento expreso. El consentimiento expreso consiste en una afirmación específica del afectado aceptando el tratamiento de sus datos personales mediante un acto positivo y declarativo de la voluntad que se puede manifestar de manera oral (presencial, telefónica etc.) o escrita (firmando una clausula, rellenando una casilla etc.)
  • El consentimiento tácito. En contra de lo que ocurre con el consentimiento expreso, en el que es necesario que el interesado manifieste su voluntad mediante un acto positivo, el consentimiento tácito se produce cuando la persona afectada por el tratamiento, teniendo conocimiento de que se va a llevar a cabo el tratamiento de sus datos personales, guarda silencio y no se manifiesta en contrario dentro de un plazo determinado, por lo que se entiende que presta su consentimiento al tratamiento. En el caso de que el responsable del fichero pretenda tratar datos de carácter personal con el consentimiento tácito del afectado, deberá utilizar el procedimiento previsto en el artículo 14 del Real Decreto 1720/2007, según el cual “El responsable podrá dirigirse al afectado, informándole en los términos previstos en los artículos 5 de la Ley Orgánica 15/1999, de 13 de diciembre y 12.2 de este reglamento y deberá concederle un plazo de treinta días para manifestar su negativa al tratamiento, advirtiéndole de que en caso de no pronunciarse a tal efecto se entenderá que consiente el tratamiento de sus datos de carácter personal.”
  • El consentimiento para tratar datos especialmente protegidos. La Ley solamente exige obtener el consentimiento de una forma determinada cuando se trata de datos especialmente protegidos (artículo 7 Lopd), exigiendo consentimiento expreso y escrito para el tratamiento de los datos de ideología, religión, creencias y afiliación sindical y consentimiento expreso, aunque no necesariamente escrito, para el tratamiento de los datos relacionados con la salud, el origen racial y la vida sexual.
 
En todo caso, y teniendo en cuenta que el artículo 12.3 del Reglamento de la Lopd (Real Decreto 1720/2007) establece que Corresponderá al responsable del tratamiento la prueba de la existencia del consentimiento del afectado por cualquier medio de prueba admisible en derecho”, lo más recomendable es obtener siempre el consentimiento expreso y por escrito independientemente del tipo de datos que vayan a ser tratados.
 

 Las excepciones al consentimiento en la Lopd

Como ya hemos visto, y de manera excepcional, los datos de carácter personal solamente podrán ser tratados sin el consentimiento de su titular cuando el mismo no sea exigible con arreglo a lo dispuesto en las leyes, en este sentido, la propia Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal establece que no será preciso el consentimiento en los siguientes supuestos (artículo 6.2):
  • Cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones públicas en el ámbito de sus competencias.
  • Cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento.
  • Cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7, apartado 6, de la Lopd.
  • Cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado.

 


Ejemplo. En el ámbito empresarial, el tratamiento de los datos de carácter personal de los empleados, clientes y proveedores suele estar amparado en la segunda excepción prevista en la Lopd porque se trata de “partes intervinientes en un contrato o precontrato de una relación negocial, laboral o administrativa”. Sin embargo, es importante destacar que esta excepción únicamente ampara el tratamiento de los datos que sean necesarios para el mantenimiento o cumplimiento de dicha relación por lo que el tratamiento de los datos para otras finalidades requiere inexcusablemente del consentimiento del afectado. Y para muestra de ello aquí tienes un informe jurídico de la Agencia Española de Protección de Datos sobre el uso de la fecha de nacimiento de los empleados para felicitarles por su cumpleaños » Informe jurídico 2008-03-01 [27 KB]
 
 

 La revocación del consentimiento

 


Una vez prestado el consentimiento, y tal y como establece el artículo 6.3 de la Lopd, el titular de los datos tiene la posibilidad de revocarlo “cuando exista causa justificada para ello y no se le atribuyan efectos retroactivos”, lo que significa que la revocación del consentimiento impedirá que se continúen tratando los datos personales pero no podrá evitar los efectos que haya tenido el tratamiento hasta el momento de la revocación.
 
 

 La oposición al tratamiento de los datos

 


En aquellos casos en los que una ley permite el tratamiento de los datos de carácter personal sin disponer del consentimiento del afectado, el titular de los datos no tiene la posibilidad de revocar su consentimiento simplemente porque no lo ha prestado, sin embargo, en estos supuestos, el artículo 6.4 de la Lopd le permite oponerse al tratamiento de sus datos “cuando existan motivos fundados y legítimos relativos a una concreta situación personal”, obligando con ello al responsable del fichero a excluir del tratamiento los datos relativos al afectado.
 
 

 Infracciones y sanciones

El responsable del fichero debe tener en cuenta que recoger, tratar y ceder datos de carácter personal vulnerando los principios y garantías establecidas en la Lopd puede ser constitutivo de infracción leve, grave o muy grave según sea el caso de que se trate, pudiendo ser sancionado por la Agencia Española de Protección de Datos con multas de hasta 600.000 euros por la infracción más grave. En relación al consentimiento del afectado destacamos las siguientes infracciones y sanciones:

 


  • Infracción grave. Según el artículo 44.3.c de la Lopd, constituye una infracción de carácter grave “Proceder a la recogida de datos de carácter personal sin recabar el consentimiento expreso de las personas afectadas, en los casos en que éste sea exigible”. Dicha infracción es sancionable por la Agencia con multas de 60.000 a 300.000 euros (de diez a cincuenta millones de pesetas).
  • Infracción muy grave. Según el artículo 44.4.c de la Lopd, constituye una infracción de carácter muy grave "recabar y tratar los datos de carácter personal a los que se refiere el art.7.2 (ideología, afiliación sindical, religión y creencias ) cuando no medie el consentimiento expreso del afectado; recabar y tratar los datos a los que se refiere al art. 7.3 (origen racial, a la salud y a la vida sexual) cuando no lo disponga una ley o el afectado no haya consentido expresamente o violentar la prohibición contenida en el apartado 4 del artículo 7". Dicha infracción es sancionable por la Agencia con multas de 300.000 a 600.000 euros (de cincuenta a cien millones de pesetas).
en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)

Plazo de 3 días para comunicar las variaciones a la Seguridad Social/2015

  Plazo de 3 días para comunicar las variaciones a la Seguridad Social/2015 El pasado 26 de julio entraba en vigor en  Real Decreto 708/20...