El gestor administrativo frente a la ley organica de proteccion de datos de caracter personal
La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal – en adelante L.O.P.D.- entró en vigor el 14 de enero del pasado año 2.000, a pesar de lo cual es una norma desconocida en gran medida por la mayoría de sus destinatarios.
La regulación contenida en la L.O.P.D. afecta en mayor medida -si cabe- a los Gestores Administrativos, de acuerdo con lo que se expondrá a lo largo del presente artículo, que deberán realizar un especial esfuerzo para adaptarse a esta nueva normativa, que va a suponer -en muchos aspectos- un cambio de hábitos en el ejercicio de la profesión.
Conceptos fundamentales de la LOPD
Antes de comenzar con el análisis concreto de la incidencia de la citada normativa en el modus operandi del Gestor Administrativo, han de aclararse una serie de conceptos a los que alude la L.O.P.D. y que se presentan como fundamentales a los efectos de su comprensión, entre ellos:
- Datos de carácter personal: cualquier información concerniente a personas físicas identificadas o identificables.
- Fichero: todo conjunto organizado de datos de carácter personal.
- Tratamiento de datos: operaciones y procedimientos técnicos, de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación de datos de carácter personal, así como las cesiones de los mismos que resulten.
- Responsable del fichero o tratamiento: persona física o jurídica -u órgano administrativo- que decida sobre la finalidad, contenido y uso del tratamiento.
- Encargado del tratamiento: persona física o jurídica que trate datos personales por cuenta del responsable del tratamiento.
- Afectado o interesado: persona física titular de los datos que sean objeto de tratamiento.
Ficheros propios y ficheros ajenos.
Una vez aclarados estos conceptos esenciales, se ha de añadir que el Gestor Administrativo -dada la naturaleza de su profesión- tiene a su cargo ficheros -conjuntos organizados de datos personales- propios y ajenos, en tal sentido se ha de distinguir:
- Fichero PROPIO: aquel que se refiere a sus proveedores, a su personal y a sus clientes, siempre y cuando -con respecto a éstos últimos- los datos personales de los que disponga el Gestor Administrativo se refieran única y exclusivamente al cliente y hayan sido facilitados por éste al propio profesional (por ejemplo: datos personales de un particular que encarga al Gestor la declaración del I.R.P.F.).
- Fichero AJENO: aquel relativo a los proveedores, clientes y personal de sus clientes, es decir, aquel conjunto organizado de datos personales que un empresario o profesional confía a su Gestor Administrativo a fín de que éste pueda desarrollar el servicio para el que ha sido contratado (por ejemplo: elaboración de nóminas, liquidación de tributos,…).
Hecha la fundamental distinción que antecede, se ha de hacer referencia a las obligaciones que la L.O.P.D impone -en este caso- al Gestor Administrativo con respecto a cada uno de los ficheros, según sean propios o ajenos:
– Cuando el fichero sea PROPIO, el Gestor Administrativo será el AResponsable del fichero o tratamiento@, la persona que decide sobre su finalidad, contenido y uso; y ha de asumir una serie de obligaciones que -como tal responsable- le impone la L.O.P.D. en diversas materias: información previa y recogida de datos de los afectados, tratamiento y cesión de tales datos, deber de secreto con relación a los datos de carácter personal, implantación de las medidas de seguridad -conforme al R.D. 994/1999, de 11 de junio-, notificación e inscripción del fichero/s en el Registro General de Protección de Datos, colaboración con la Agencia de Protección de Datos en orden al cumplimiento de la legalidad en la materia, garantía de los derechos de acceso, rectificación, cancelación y oposición de los afectados, etc… Y para el caso de incumplimiento de la normativa de protección de datos, la citada L.O. contiene un amplio cuadro de infracciones que vienen sancionadas con multas de 100.000 a 100.000.000 de pesetas.
En este caso, el creador del fichero -o base de datos- es el propio Gestor Administrativo, y en su creación se han de seguir una serie de fases:
- Concreción de la finalidad perseguida con la recogida de datos de carácter personal, en función de las específicas necesidades del Gestor Administrativo para el desarrollo de su actividad profesional.
- Determinación de los concretos datos personales necesarios para el ejercicio de la profesión.
- Determinación de los medios materiales y personales de los que dispone -o ha de disponer- el Gestor Administrativo a fín de tratar los datos personales, de conformidad con la L.O.P.D. y demás normas en la materia.
- Adopción de un sistema de seguridad que salvaguarde los datos personales contenidos en su fichero de cualesquiera alteración, pérdida o acceso no autorizado; sistema de seguridad que ha de plasmarse en un documento -Adocumento de seguridad@-que contiene una normativa de obligado cumplimiento para todo el personal con acceso a los datos de carácter personal y a los sistemas de información.
- Notificación del fichero a la Agencia de Protección de Datos e inscripción del mismo en el Registro General de Protección de Datos.
– Cuando el fichero sea AJENO, el Gestor Administrativo tiene la consideración de Encargado del tratamiento -aquel que trata datos personales por cuenta de un tercero-.
El artículo 12 L.O.P.D. regula el acceso a los datos personales por cuenta de terceros, disponiendo en su apartado 1:
No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento.
Es decir, la comunicación de datos a un Gestor Administrativo por uno de sus clientes a fín de posibilitar la prestación del correspondiente servicio profesional pactado entre ambos no constituye cesión de datos y, por tanto, no está sujeto al consentimiento del afectado.
La L.O.P.D. alude también a que la realización de tratamientos por cuenta de terceros deberá venir regulada en un contrato -contrato que el Gestor Administrativo ha de suscribir con cada uno de los clientes respectivos-, en el que se han de recoger expresamente las siguientes obligaciones a cargo del Gestor Administrativo:
- Tratamiento de los datos conforme a las instrucciones del responsable del tratamiento -el cliente-.
- No aplicación, ni utilización de tales datos con un fín distinto al que resulte del contrato.
- No comuncación de los reiterados datos a otras personas.
- Implementación de las medidas de seguridad legalmente establecidas.
En relación con este último apartado, el encargado del tratamiento -el Gestor Administrativo- viene obligado a adoptar el mismo nivel de seguridad que el responsable del fichero. Además, también le atañe un deber de secreto con relación a los datos personales conocidos con motivo del tratamiento por cuenta de sus clientes, la obligación de destruir o devolver a su cliente -responsable del fichero- los soportes o documentos que contengan datos personales finalizado el contrato y queda sujeto al régimen sancionador de la L.O.P.D.
Por último, ha de tenerse en cuenta que en los supuestos comentados no es preciso el consentimiento del afectado -en el caso de los ficheros propios, porque existe un consentimiento tácito del interesado derivado de la relación mantenida con el Gestor Administrativo, y en los ficheros que hemos denominado ajenos porque no existe una cesión de datos en favor del Gestor Administrativo-, pero no sucede lo mismo con los que la L.O.P.D. denomina Adatos especialmente protegidos@ -relativos a la ideología, afiliación sindical, religión y creencias, origen racial, salud, vida sexual y comisión de infracciones penales o administrativas -, para cuyo tratamiento es indispensable el consentimiento expreso y por escrito del titular de los datos en cuestión.
Especial interés tienen para el Gestor Administrativo los datos relativos a la afiliación sindical, religión y salud -por ejemplo: confección de nóminas, declaración del I.R.P.F., …-, en cuyo caso ha de recabarse por escrito el consentimiento del afectado para proceder al tratamiento de tales datos e instar a sus clientes a que hagan lo mismo, cuando los ficheros que pudieren contener datos de esta naturaleza procedan de alguno de sus clientes.
RAFAEL GONZALEZ DEL RIO
ABOGADO