Gestión de datos y derechos LOPD

Gestin de la seguridad de la informacin por el empleado
Mdulo 8 Casos reales

Informe Jurdico 0323/2007. Legitimacin para el

tratamiento de imgenes.
La consulta plantea, varias cuestiones relacionadas con la Instruccin 1/2006,
de 8 de noviembre de 2006, de la Agencia Espaola de Proteccin de Datos,
sobre el tratamiento de datos personales con fines de vigilancia a travs de
sistemas de cmaras o videocmaras.
En primer lugar se plantea si es necesario el consentimiento inequvoco de los
trabajadores, cuando se instalan cmaras de videovigilancia en el centro de
trabajo, al amparo del artculo 6.1 de la Ley Orgnica 15/1999, de 13 de
diciembre, de Proteccin de Datos de Carcter Personal.
En cuanto a la legitimacin para el tratamiento de las imgenes el artculo 2 de
la Instruccin se remite a lo dispuesto en el artculo 6.1 y 2 de la Ley Orgnica
de Proteccin de Datos, donde se establece que el tratamiento de los datos de
carcter personal requerir el consentimiento inequvoco del afectado, salvo
que la Ley disponga otra cosa, sin perjuicio de que dicho consentimiento podr
quedar excluido, de acuerdo con lo dispuesto por el artculo 6.2 cuando, segn
sucede en el supuesto sometido a consulta, es decir, que el tratamiento sea
CONVERSIA 2015 | Derechos reservados.
Pgina 2 de 63

necesario para el adecuado desenvolvimiento de la relacin laboral de los

trabajadores con la empresa.
Habida cuenta de que el Estatuto de los Trabajadores (ET) habilita al
empresario para la utilizacin de videocmaras con fines de control
empresarial, y teniendo en cuenta al Tribunal Supremo, en Sentencia de 18 de
junio de 2006 en virtud de la cual dichas medidas (como las relacionadas con la
utilizacin de Internet y correo electrnico) deben haberse hecho constar
expresamente al trabajador, pasando as a formar parte de la propia relacin
laboral y siendo el tratamiento de los datos necesario para su adecuado
desenvolvimiento, se desprende que la aplicacin del artculo 20.3 ET no
legitima por s solo el tratamiento de las imgenes, si bien este ser posible,
an sin contar con el consentimiento del afectado, en caso de que el trabajador
haya sido debidamente informado de la existencia de esta medida, debiendo
adems ser claro en que, conforme a lo exigido por el artculo 4.2 LOPD, los
datos no podrn ser utilizados para fines distintos.
En segundo lugar la consulta plantea si en un centro de trabajo donde pueden
acceder decenas de personas, es necesario recabar el consentimiento de cada
una de las que acceden.
Dado que en materia de videovigilancia resulta imposible obtener el
consentimiento de las personas cuyas imgenes capten las cmaras es preciso
conocer que ley puede habilitar el tratamiento. Respecto a la legitimacin en el
tratamiento de las imgenes la Agencia se ha pronunciado, en informe con
fecha 5 de febrero, sealando que:
la instalacin de cmaras y videocmaras deber respetar en todo caso los

requisitos exigidos por la legislacin vigente en la materia.
En conclusin es necesario que por parte de quien desea instalar dichas
cmaras cumpla con todos los requisitos antes expuestos.
Por ltimo, la consulta plantea, en el supuesto en que las Autoridades
Judiciales o Policiales soliciten la entrega de las cintas grabadas, para el
esclarecimiento de hechos delictivos, dichas cintas pueden ser cedidas sin
necesidad de autorizacin previa.
Pgina 3 de 63

Si bien toda revelacin de datos a cualquier persona distinta del interesado se

considera una cesin de datos, la cesin de datos a la Autoridad Judicial est
amparada por el apartado d) del artculo 11.2 de la citada Ley Orgnica.
En relacin con la posibilidad de cesin a la Polica, el artculo 22.2 de la Ley
15/1999, establece que la recogida y tratamiento automatizado para fines
policiales de datos de carcter personal por las Fuerzas y Cuerpos de

Seguridad sin consentimiento de las personas afectadas, estn limitados a
aquellos supuestos y categoras de datos que resulten necesarios para la
prevencin de un peligro real y grave para la seguridad pblica o para la
represin de infracciones penales, debiendo ser almacenados en ficheros
especficos establecidos al efecto, que debern clasificarse por categoras, en
funcin de su grado de fiabilidad. El citado artculo habilita a las Fuerzas y
Cuerpos de Seguridad del Estado a recabar y tratar datos de carcter personal
sin consentimiento de los afectados nicamente cuando se cumplan las
siguientes condiciones:
Que quede debidamente acreditado que la obtencin de los datos resulta

necesaria para la prevencin de un peligro real y grave para la seguridad
pblica o para la represin de infracciones penales.
Que se trate de una peticin concreta y especfica, al no ser compatible con

lo sealado anteriormente el ejercicio de solicitudes masivas de datos.
Que la peticin se efecte con la debida motivacin, que acredite su relacin

con los supuestos que se han expuesto.
Que, en cumplimiento del artculo 22.4 de la Ley 15/1999, los datos sean
cancelados cuando no sean necesarios para las averiguaciones que
motivaron su almacenamiento.
Por ltimo, el informe identifica, segn el artculo 3.1 de la Ley Orgnica 2/1986,
de 13 de marzo, de Fuerzas y Cuerpos de Seguridad a las Fuerzas y Cuerpos de
Seguridad:
Las Fuerzas y Cuerpos de Seguridad del Estado dependientes del Gobierno

de la Nacin
Los Cuerpos de Polica dependientes de las Comunidades Autnomas
Los Cuerpos de Polica dependientes de las Corporaciones Municipales
Pgina 4 de 63

En consecuencia, a la Guardia Civil y a quienes integren las Fuerzas y Cuerpos

de Seguridad, les ser aplicable el artculo 22. 2 Ley 15/1999, y podrn tener
acceso a las imgenes sin consentimiento de los interesados, en las
condiciones y con las cautelas indicadas anteriormente.
Resolucin N R/01765/2011.
derecho de rectificacin
Desestimacin
del
Vista la reclamacin formulada el 7 de febrero de 2011 ante esta Agencia por D

A.A.A. contra AGENCIA TRIBUTARIA. ADMINISTRACIN DEL ESCORIAL por no
haber sido debidamente atendido su derecho de rectificacin. Realizadas las
actuaciones procedimentales previstas en el artculo 117 del Reglamento de
desarrollo de la Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de
Datos de Carcter Personal, aprobado por el Real Decreto 1720/2007, de 21 de
diciembre (en lo sucesivo, RLOPD), se ha constatado lo siguiente:
Hechos
D A.A.A. (en lo sucesivo, la reclamante) present una solicitud ante la Agencia
Tributaria, dirigida a Catastro, exponiendo que en sus datos existen dos
errores. El primero de ellos es que en la referencia catastral de su vivienda no
figura su marido como cotitular. El segundo de los errores consiste en que
figura como domicilio fiscal un domicilio en el que jams ha vivido. Dicha
solicitud fue presentada ante la Administracin de El Escorial de la Agencia
Tributaria (en lo sucesivo, AEAT).
Con fecha 7 de febrero de 2011 tuvo entrada en esta Agencia la reclamacin
presentada por D A.A.A. contra AGENCIA TRIBUTARIA. ADMINISTRACIN DEL
ESCORIAL por no haber sido debidamente atendido su derecho de rectificacin.
Son conocidos por las partes de forma completa todos los hechos, alegaciones
y dems documentacin aportada por los interesados para su defensa, al
haberse dado traslado por la instruccin del expediente a cada uno de los
interesados en este procedimiento y constado todo ello en el expediente que
obra en esta Agencia Espaola de Proteccin de Datos.
Pgina 5 de 63

Fundamentos de derecho
Es competente para resolver el Director de la Agencia Espaola de Proteccin
de Datos, conforme a lo establecido en el artculo 37.d) en relacin con el
artculo 36, ambos de la Ley Orgnica 15/1999, de 13 de diciembre, de
Proteccin de Datos de Carcter Personal (en lo sucesivo LOPD).
El artculo 18.1 de la LOPD seala que:
Las actuaciones contrarias a lo dispuesto en la presente Ley pueden ser

objeto de reclamacin por los afectados ante la Agencia Espaola de Proteccin
de Datos, en la forma que reglamentariamente se determine.
El artculo 16 de la LOPD dispone que:
1. El responsable del tratamiento tendr la obligacin de hacer efectivo el

derecho de rectificacin o cancelacin del interesado en el plazo de diez das.
2. Sern rectificados o cancelados, en su caso, los datos de carcter personal
cuyo tratamiento no se ajuste a lo dispuesto en la presente Ley y, en particular,
cuando tales datos resulten inexactos o incompletos.
4. Si los datos rectificados o cancelados hubieran sido comunicados
previamente, el responsable del tratamiento deber notificar la rectificacin o
cancelacin efectuada a quien se hayan comunicado, en el caso de que se
mantenga el tratamiento por este ltimo, que deber tambin proceder a la
cancelacin.
El artculo 25.8 del RLOPD dispone:
8. Cuando las leyes aplicables a determinados ficheros concretos establezcan

un procedimiento especial para la rectificacin o cancelacin de los datos
contenidos en los mismos, se estar a lo dispuesto en aqullas.
()
Dado que en el presente caso haba quedado suficientemente acreditada la
solicitud de rectificacin de datos de la reclamante, el Director de la Agencia
Espaola de Proteccin de Datos resolvi desestimar la reclamacin formulada
por D A.A.A. contra AGENCIA TRIBUTARIA. ADMINISTRACIN DEL ESCORIAL:
Pgina 6 de 63

La AEAT y la entidad denominada por la reclamante como Catastro, que, en

el organigrama de la Administracin General del Estado, es la Direccin
General del Catastro, son dos rganos independientes pertenecientes a la
Administracin General del Estado.
La presentacin de la solicitud de la reclamante ante la AEAT dirigido a la

Direccin General del Catastro es vlida a tenor de lo establecido en el
anteriormente trascrito artculo 38.4.b) de la LRJPAC.
No obstante, el hecho de que dicha solicitud fuese registrada por la AEAT

no hace que este organismo sea responsable de atender la peticin de la
reclamante. Su funcin es la de cursar la documentacin a su destinatario
correspondiente.
Pgina 7 de 63

Procedimiento N PS/00365/2005. No inscripcin de

fichero
Con fecha de 15/11/2004, tuvo entrada en esta Agencia un escrito presentado
por Da. A.A.L. (en lo sucesivo la denunciante), en el que pone de manifiesto
que la entidad Asesora Balance, S.L.
(en
lo
sucesivo
ASESORA
BALANCE) recaba datos de carcter personal a travs del sitio Web

www.....A..... sin incluir ninguna clusula legal que permita ejercitar los
derechos reconocidos en la Ley Orgnica 15/1999, de 13 de diciembre, de
Proteccin de Datos de Carcter Personal (en lo sucesivo LOPD). Por otra parte,
aade que la entidad Cadiport, S.L. (en lo sucesivo CADIPORT) realiza
peridicamente mailings, con informacin recabada de Asesora Balance, S.L.,
sin el consentimiento de los afectados y sin incluir ninguna clusula legal.
En el supuesto examinado, a fecha 31/10/2005, en el que por parte de los
Servicios de Inspeccin de la Agencia Espaola de Proteccin de Datos se
efectuaron las oportunas comprobaciones, la entidad CADIPORT no haba
comunicado al Registro General de Proteccin de Datos la creacin de los
citados ficheros que contienen datos de carcter personal, incumpliendo la
obligacin establecida en el artculo 26.1 de la LOPD.
Por tanto, considerando que los ficheros reconocidos por CADIPORT existan a
31/10/2005, y que, a dicha fecha, no haban sido notificados al Registro General
de Proteccin de Datos, no pueden tenerse en cuenta las alegaciones referidas
a la prescripcin de la presunta infraccin cometida por la citada entidad, al no
haber transcurrido el plazo de un ao que el artculo 47.1 de la LOPD establece
para la prescripcin de las infracciones leves, contado desde aquella fecha del
31/10/2005 hasta 15/12/2005, fecha en la que se notific el acuerdo de inicio del
presente procedimiento sancionador.
El artculo 44.2.c) de la LOPD tipifica como infraccin leve No solicitar la
inscripcin del fichero de datos de carcter personal en el Registro General de

Proteccin de Datos, cuando no sea constitutivo de infraccin grave.
Como ya se ha sealado, CADIPORT ha cometido la infraccin descrita, por
cuanto desatendi la obligacin impuesta en el artculo 26.1 de la citada LOPD.
El Director de la Agencia Espaola de Proteccin de Datos RESUELVE:
Pgina 8 de 63

1. IMPONER a la entidad ASESORA BALANCE, S.L., por una infraccin del

artculo 5.1 de la LOPD, tipificada como leve en el artculo 44.2.d) de dicha
norma, una multa de 601,01 (seiscientos un euros con un cntimo), de
conformidad con lo establecido en el artculo 45.1 y 4 de la citada Ley Orgnica.
2. IMPONER a la entidad CADIPORT, S.L., por sendas infracciones de los
artculo 26.1 y 5.5 de la LOPD, tipificadas como leve y grave, respectivamente,
en los artculos 44.2.c) y 44.3.l) de dicha norma, unas multas de 601,01
(seiscientos un euros con un cntimo) y 60.101,21 (sesenta mil ciento un euros
con veintin cntimos), de conformidad con lo establecido en el artculo 45.1, 2
y 4 de la citada Ley Orgnica.
Pgina 9 de 63

Informe 0227/2010. Empresas dedicadas a la gestin

de residuos como encargado del tratamiento
La consulta plantea si, conforme a lo dispuesto en la Ley Orgnica15/1999, de
13 de diciembre, de Proteccin de datos de Carcter Personal, las empresas
dedicadas a la gestin de residuos responden a la figura de encargado del
tratamiento o se convierten en responsables del mismo cuando se contrata con
ellas un servicio de destruccin de documentos.
El artculo 3 d) de la Ley Orgnica 15/1999, define al responsable del fichero
como la persona fsica o jurdica, de naturaleza pblica o privada, u rgano
administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.

Por su parte, el artculo 3.g) de la misma Ley define al encargado del
tratamiento como la persona fsica o jurdica, autoridad pblica, servicio o
cualquier otro organismo que, slo o conjuntamente con otros, trate datos
personales por cuenta del responsable del tratamiento.
En consecuencia, la condicin de responsable o encargado del tratamiento se
delimita en virtud de la capacidad de decisin sobre la finalidad, contenido o
uso del tratamiento que ostentar el responsable, no correspondiendo dicha
potestad al encargado, habida cuenta del hecho de que el mismo se limitar a
actuar en virtud de las instrucciones conferidas por el responsable del
tratamiento. El artculo 5.1.i) del Reglamento de desarrollo de la Ley Orgnica
15/1999, aprobado por Real Decreto 1720/2007, de 21 de diciembre, precisa as
que ser encargado de tratamiento La persona fsica o jurdica, pblica o
privada, u rgano administrativo que, solo o conjuntamente con otros, trate

datos personales por cuenta del responsable del tratamiento o del responsable
del fichero, como consecuencia de la existencia de una relacin jurdica que le
vincula con el mismo y delimita el mbito de su actuacin para la prestacin de
un servicio.
La figura del encargado del tratamiento responde a la necesidad de dar
respuesta a fenmenos como la externalizacin de servicios por parte de las
empresas y otras entidades, de manera que en aquellos supuestos en que el
responsable del tratamiento encomiende a un tercero la prestacin de un
servicio que requiera el acceso a datos de carcter personal por ste, dicho
acceso no pueda considerarse como una cesin de datos. Es as que el artculo
12.1 de la Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de datos de
Pgina 10 de 63

Carcter Personal, establece que no se considerar comunicacin de datos el
acceso de un tercero a los datos cuando dicho acceso sea necesario para la
prestacin de un servicio al responsable del tratamiento
En este sentido, Para delimitar si en un supuesto concreto nos encontramos
ante una cesin de datos o ante una realizacin de actividades reguladas por el
artculo 12 de la Ley Orgnica, ser preciso atender a las circunstancias de
cada caso, de tal forma que existir cesin en aquellos supuestos en los que
quien reciba los datos pueda aplicar los mismos a sus propias finalidades,
decidiendo sobre el objeto y finalidad del tratamiento, lo que la convertir a su
vez en un responsable del fichero o tratamiento, mientras que la figura
regulada por el artculo 12 de la Ley Orgnica tendr cabida en aquellos otros
casos en que la entidad receptora de los datos se limite a efectuar
determinadas operaciones sobre los mismos, sin decidir sobre su finalidad.
Ahora bien, para que la relacin entre responsable y encargado del tratamiento
pueda darse y se ajuste a la Ley, es preciso que se cumplan los requisitos
expresados en el artculo 12 de la Ley Orgnica 15/1999, considerando los
siguientes aspectos:
En primer lugar, es preciso que el acceso a los datos por el tercero (en el
presente caso por la empresa prestadora del servicio de destruccin de
documentos) se efecte con la exclusiva finalidad de prestar un servicio al
responsable del fichero, y que dicha relacin de servicios se encuentre
contractualmente establecida. En lo que atae a los requisitos formales de este
tipo de contratos, el artculo 12.2 de la Ley Orgnica 15/1999 impone que la
realizacin de tratamientos por cuenta de terceros deber estar regulada en un

contrato que deber constar por escrito o en alguna otra forma que permita
acreditar su celebracin y contenido, establecindose expresamente que el
encargado del tratamiento nicamente tratar los datos conforme a las
instrucciones del responsable del tratamiento, que no los aplicar o utilizar
con fin distinto al que figure en dicho contrato, ni los comunicar, ni siquiera
para su conservacin, a otras personas.
El hecho de que la relacin derivada del contrato sea la existente entre un
responsable y un encargado del tratamiento implicar que al trmino de la
relacin sea aplicable lo establecido en el artculo 12.3 de la Ley orgnica
15/1999, de forma que una vez cumplida la prestacin contractual, los datos de
Pgina 11 de 63

carcter personal debern ser destruidos o devueltos al responsable del

tratamiento, al igual que cualquier soporte o documentos en que conste algn
dato de carcter personal objeto del tratamiento.
El incumplimiento de la previsin sealada en el artculo 12.3, que en el
presente caso queda limitada, por la propia naturaleza del servicio a prestar, a
la destruccin de los documentos que contengan datos personales ordenada
por la empresa que contrate dicho servicio, llevar aparejada la consecuencia,
prevista en el artculo 12.4 de la Ley Orgnica 15/1999, de que En el caso de
que el encargado del tratamiento destine los datos a otra finalidad, los
comunique o los utilice incumpliendo las estipulaciones del contrato, ser
considerado, tambin, responsable del tratamiento, respondiendo de las
infracciones en que hubiera incurrido personalmente.
Por ltimo, en cuanto a las medidas de seguridad que hayan de ser adoptadas
por quienes realicen trabajos de tratamiento de datos por cuenta de tercero,
habrn de ser, en principio, las mismas que las impuestas al responsable del
fichero, tal y como se desprende de lo previsto en los artculo 9 y 12.2 de la Ley
Orgnica 15/1999.
Por consiguiente, en aquellos supuestos a los que parece referirse la consulta,
en que se contrate un servicio de destruccin de documentos, siempre y
cuando se cumplan todos aqullos requisitos sealados en el artculo 12 de la
Ley Orgnica 15/1999, resultar responsable del tratamiento la empresa o
entidad que contrate dicho servicio, respondiendo la empresa prestadora del
servicio contratado en los supuestos previstos en el artculo 12.4 de la misma
norma antes transcrito.
Pgina 12 de 63

Informe 0214/2010. Publicacin de datos personales en Boletines Oficiales

La consulta solicita conocer la postura de la Agencia Espaola de Proteccin de
Datos, respecto de las sanciones publicadas en los Boletines Oficiales de la
Provincia, a las que acceden los buscadores, cuando las personas afectadas,
solicitan que dicha informacin no sea accesible por Internet.
Segn parece desprenderse del contenido de la consulta los afectados solicitan
ante la Diputacin Provincial que sus datos no sean accesibles a los
buscadores.
En primer lugar es preciso indicar que la notificacin que se efecto a los
ciudadanos a travs del Boletn Oficial de la Provincia, fue como consecuencia
de la imposible notificacin directa al infractor.
La notificacin a travs de los Boletines, est regulada en la Ley 30/1992, de 30
de noviembre, Ley de Rgimen Jurdico y Procedimiento Administrativo
Comn, donde en su Artculo 59 seala que 1. Las notificaciones se
practicarn por cualquier medio que permita tener constancia de la recepcin

por el interesado o su representante, as como de la fecha, la identidad y el
contenido del acto notificado.
En cuanto a la posibilidad de solicitar la cancelacin de sus datos, el artculo
31.2 del Reglamento de desarrollo de la Ley Orgnica 15/1999, de 13 de
diciembre, de Proteccin de datos de Carcter Personal, aprobado por Real
Decreto 1720/2007, de 21 de diciembre, define el derecho de cancelacin, al
sealar que el ejercicio del derecho de cancelacin dar lugar a que se
supriman los datos que resulten ser inadecuados o excesivos. En

consecuencia, es preciso analizar si el tratamiento efectuado en el supuesto
analizado resulta inadecuado o excesivo, para que procediera atender a la
solicitud formulada.
La notificacin en el Boletn Oficial, en los trminos de los artculos, no resulta
en ningn caso, ni inadecuada ni excesiva, por lo que en ningn caso se podr
cancelar dicha informacin.
Dicho esto, el artculo 6.2 de la Ley Orgnica 15/1999 dispone que no ser
preciso el consentimiento cuando los datos figuren en fuentes accesibles al

pblico y su tratamiento sea necesario para la satisfaccin del inters legtimo
perseguido por el responsable del fichero, siempre que no se vulneren los
Pgina 13 de 63

derechos y libertades fundamentales del interesado. As, el tratamiento

llevado a cabo podra considerarse conforme con lo dispuesto en la LOPD, no
siendo el mismo inadecuado o excesivo, por lo que no procedera atender a la
solicitud de ejercicio del derecho de cancelacin.
La regulacin del derecho de oposicin aparece en el artculo 6.4 de la Ley
Orgnica 15/1999 donde se reconoce al afectado el ejercicio del derecho de
oposicin, estableciendo que en los casos en los que no sea necesario el
consentimiento del afectado para el tratamiento de los datos de carcter

personal, y siempre que una Ley no disponga lo contrario, ste podr oponerse
a su tratamiento cuando existan motivos fundados y legtimos relativos a una
concreta situacin personal. En tal supuesto, el responsable del fichero
excluir del tratamiento los datos relativos al afectado.
En supuestos como el planteado, el acceso a la informacin personal se
produce por la concurrencia de dos hechos: la publicacin de la notificacin en
la edicin electrnica del Diario Oficial y su indexacin por el servicio de
bsqueda en Internet.
Por ello, los afectados podrn ejercitar el mencionado derecho ante los
buscadores, en cuyo caso concurren todos los requisitos necesarios para que
atiendan tal peticin.
Pgina 14 de 63

Resolucin: R/00520/2008. Vulneracin del deber de

secreto
En el procedimiento sancionador PS/00442/2007, instruido por la Agencia
Espaola de Proteccin de Datos a la entidad Euro Crdito EFC SA, vista la
denuncia presentada por C.C.C. y en base a los siguientes,
Antecedentes
Con fecha 9 de octubre de 2006, tuvo entrada en esta Agencia un escrito de
C.C.C. (en lo sucesivo el denunciante), en el que manifiesta que es cliente de
EURO CRDITO EFC SA (en lo sucesivo EUROCRDITO) y que a principios del
mes de septiembre del ao 2006 recibi una carta de dicha entidad pudindose
leer en la ventanilla del sobre algo del contenido de la carta de forma muy
visible, que dice : os ha devuelto impagado, el recibo su cuenta bancaria.
El denunciante interpreta una supuesta vulneracin del art. 10 de la Ley
Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter
Personal (en lo sucesivo LOPD) por parte de EURO CRDITO al haber divulgado
datos de crdito relativos a su persona, a otras personas distintas que tuvieron
acceso al sobre antes de llegar a su poder.
Tras la recepcin de la denuncia, el Director de la Agencia Espaola de
Proteccin de Datos orden a la Subdireccin General de Inspeccin de Datos
la realizacin de las actuaciones previas de investigacin (E/01116/2006) para el
esclarecimiento de los hechos denunciados.
Previa a la resolucin del recurso, se realiza la actuacin de los Inspectores de
la Agencia en los locales de la entidad denunciada el da 17/10/07 y
comprueban que hechos similares al denunciado se repiten en algunas
situaciones.
De las actuaciones realizadas han de ser tenidos en cuenta los siguientes
hechos:
1) En el sobre cerrado aportado por el denunciante se comprueba que a travs
de la ventana se puede leer:
SR C.C.C.
Pgina 15 de 63

(C/......................)
(.............)
(.............)
OS HA DEVUELTO IMPAGADO, EL RECIBO
SU CUENTA BANCARIA
Una vez abierto, se evidencia que el sobre en el interior contiene un nico
documento, de una sola hoja, en el que aparecen los referidos datos
personales del denunciante (nombre apellidos y direccin) as como una
indicacin de impago: A FECHA DE HOY, SU BANCO NOS HA DEVUELTO
IMPAGADO, EL RECIBO QUE HABIAMOS PRESENTADO EN SU CUENTA
BANCARIA, que contiene el texto que se visualizaba a travs de la
ventanilla.
EUROCRDITO alega desconocer los motivos por los que se pudo producir el
hecho denunciado, dado que se emiten millones de cartas al ao sin haberse
detectado tal incidencia y pone a disposicin de la Agencia Espaola de
Proteccin de Datos muestras de cartas remitidas.
La impresin, ensobrado y entrega en correos de las cartas remitidas por
EUROCREDITO es realizada por CETELEM SERVICIOS INFORMATICOS AIE,
con quien suscribi un contrato de prestacin de servicios para la realizacin
de esa actividad.
Los inspectores de la Agencia se desplazan, a las instalaciones de la entidad
CETELEM SERVICIOS INFORMATICOS AIE. Solicitan que se realice la
impresin y ensobrado de una muestra de 240 comunicaciones a clientes de
EUROCREDITO, a partir de un fichero que se encontraba disponible para su
tratamiento en ese da. De la prueba se sacan las siguientes conclusiones:
a) Se verifica que de las 240 comunicaciones, 32 de ellas se ensobran de

forma manual debido a que la mquina las ha separado por la
ocurrencia de algn tipo de error. El resto de documentos son
ensobrados automticamente por la mquina.
Pgina 16 de 63

b) Examinados uno a uno todos los sobres cerrados, en ninguno de ellos es

visible a travs de la ventanilla de la que disponen, ningn dato diferente
del nombre y apellidos del destinatario y su direccin postal, salvo en dos
de ellos, en los que figura un nmero de contrato.
c) Al golpear los 238 sobres restantes verticalmente contra una mesa, en
seis de ellos se hace visible parte del texto de la comunicacin a travs
de la ventanilla del sobre. Ocurre en cuatro de los documentos
ensobrados automticamente y en dos de los ensobrados manualmente.
d) Abiertos los seis sobres citados en el punto anterior, se verifica que los
documentos contenidos en los mismos se corresponden con dos
modelos distintos de comunicaciones dirigidas a los clientes.
En vista de los hechos, Director de la Agencia de Proteccin de Datos acord
iniciar procedimiento sancionador por la presunta infraccin del artculo 10
de la LOPD tipificada como grave. Euro Crdito EFC SA solicit la suspensin
del procedimiento sancionador, que fue desestimado por el Director de la
Agencia.
El deber de confidencialidad obliga no slo al responsable del fichero sino a
todo aquel que intervenga en cualquier fase del tratamiento. El deber de
secreto profesional que incumbe a los responsables de los ficheros, recogido
en el artculo 10 de la LOPD, comporta que el responsable o quienes
intervengan en cualquier fase del tratamiento de los datos almacenados no
pueda revelar ni dar a conocer el contenido de estos datos "teniendo el deber
de guardarlos, obligacin que subsistir an despus de finalizar sus

relaciones con el titular del fichero o, en su caso, con el responsable del
mismo. Este deber es una exigencia elemental y anterior al propio
reconocimiento del derecho fundamental a la libertad informtica a que se
refiere la Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre, y
por lo que ahora interesa, comporta que los datos tratados automatizadamente
o no, no pueden ser conocidos por ninguna persona o entidad ajena, fuera de
los casos autorizados por la Ley, pues en eso consiste precisamente el secreto.
Pgina 17 de 63

En el presente caso, ha quedado acreditado que la empresa denunciada, como

responsable del fichero, vulner el deber de secreto que le incumba a tenor
del artculo 10 de la LOPD al permitir que cualquiera ajeno al afectado pudiera
ver un contenido del escrito del interior, que explicita datos de carcter
financiero, que unidos a los de identidad permiten obtener una evaluacin de la
persona destinataria.
De acuerdo con lo expuesto en el presente caso, la naturaleza y alcance de los
datos personales del denunciante, difundidos a travs de la ventanilla del sobre
(no solo datos de identidad y direccin postal sino tambin referentes a
reclamaciones o impagados), permiten realizar una evaluacin de la
personalidad del denunciante y sobre su solvencia financiera y son tipificados
como datos de nivel medio.
El Director de la Agencia Espaola de Proteccin de Datos resolvi IMPONER a
la entidad Euro Crdito EFC SA, una multa de 60.102 (sesenta mil ciento dos
euros), de conformidad con lo establecido en el artculo 45.2 y 4 de la LOPD, por
una infraccin del artculo 10 de la misma Ley, tipificada como grave en su
artculo 44.3.g).
Pgina 18 de 63

Resolucin: R/02061/2010. E-mail comercial no deseado

Espaola de Proteccin de Datos a la entidad GALERIA MIQUEL ALZUETA, S.L.,
y a la entidad A.A.A., vista la denuncia presentada por B.B.B., y en base a los
siguientes,
Antecedentes
Con fecha de 7 de enero de 2010 tiene entrada en esta Agencia un escrito de D.
B.B.B., en adelante el denunciante, en el que manifiesta lo siguiente:
1. Recibi el da 30 de septiembre de 2009 en la direccin de correo ...@1... un
correo electrnico comercial no solicitado de info@hostalet1701.com.
El correo recibido mantiene visibles todas las direcciones de mail de los
destinatarios.
2. El 1 de octubre remiti un correo solicitando el cese de los envos de correos
electrnicos a la direccin citada.
3. El 10 de diciembre recibi en la direccin de correo ...@1... otro correo
electrnico.
4. El mismo 10 de diciembre, 9 minutos despus de recibir el anterior, recibi
otro correo electrnico de info@galeriamiquelalzueta.com, una galera de
arte que organiza exposiciones de cuadros que se venden en el
establecimiento hotelero Hostalet 1701.
Nunca ha cedido sus datos a esta galera.
5. Al solicitar a la Galera Miquel Alzueta la cancelacin de sus datos y peguntar
por su origen estos le manifiestan que es muy probable que sea el
Hostalet 1701 pero que desconocen la forma o el motivo por el que se puede
haber producido, en tal caso, un intercambio de bases de datos.
A la vista de los hechos denunciados, en fase de actuaciones previas,
Servicios de Inspeccin de la Agencia solicitan informacin a la entidad,
GALERIA MIQUEL ALZUETA, S.L., A.A.A., teniendo conocimiento de que:
Pgina 19 de 63

1. El 30 de septiembre de 2009 el reclamante recibi un correo electrnico cuya

direccin IP de origen era ***IPE1.
El correo electrnico fue remitido el mismo da desde la direccin
info@hostlaet1701.com y contena informacin comercial referente a una
exposicin de arte que se organizaba en el Hostalet 1701.
El correo electrnico muestra en el campo Para: la direccin de correo y en
algunos casos el nombre y el o los apellidos de ms de 600 destinatarios.
El correo electrnico no proporciona informacin sobre como solicitar la
oposicin a la recepcin de posteriores comunicaciones comerciales.
2. El denunciante aporta copia de un correo remitido el 1 de octubre de 2009 en
respuesta al correo electrnico del punto 1.
No se ha podido verificar la recepcin de dicho correo por parte del
destinatario.
3. El 10 de diciembre de 2009 el reclamante recibi un correo electrnico cuya
info@hostlaet1701.com y contena en el cuerpo una imagen de lo que parece
una ventana y en el asunto el texto el hostalet 1701 de monells les
desea..
Los destinatarios van, en este correo, en el campo de copia oculta (CCO).
El correo electrnico no proporciona informacin sobre como solicitar la
oposicin a la recepcin de posteriores comunicaciones comerciales.
4. Las direcciones IP ***IPE1 y ***IPE2 son dos de las direcciones que el
operador TELEFONICA DE ESPAA, S.A.U. asigna de forma dinmica entre
sus clientes y en las fechas y horas en las que se remitieron los correos
citados en los puntos 1 y 3 estaban asignadas a D. A.A.A., en adelante
HOSTALET, cuya direccin de instalacin es coincidente con la del citado
local hotelero.
5. El dominio hostalet1701.com est registrado a nombre de una entidad cuyos
datos identificativos son probablemente falsos.
Pgina 20 de 63

6. Segn manifestaciones de la persona que contest al telfono de contacto

del hotel, HOSTALET es el dueo del hotel denominado Hostalet 1701.
7. En respuesta a la solicitud de informacin realizada por el inspector
actuante,
HOSTALET reenvi un correo electrnico en el que le peda
disculpas al denunciante por utilizar su direccin de correo electrnico sin

disponer de consentimiento escrito entendiendo que cuando sus clientes
dan dicho dato es para poder utilizarla salvo que exista alguna restriccin
impuesta por el titular de la misma.
En ese mismo correo se le informa que su direccin de correo electrnico ha
sido borrada del fichero.
8. El 10 de diciembre de 2009 el reclamante recibi un correo electrnico cuya
info@galeriamiquelalzueta.com y contena informacin sobre una exposicin
que se iba a realiza en la galera.
9. La direccin IP ***IPE3 es una de las direcciones que el operador
TELEFONICA DE ESPAA, S.A.U. asigna de forma dinmica entre sus
clientes y en la fecha y hora en las que se remiti el correo citado en el
punto 8 estaba asignada a GALERIA MIQUEL ALZUETA, S.L.
10. El dominio info@galeriamiquelalzueta.com est registrado a nombre de
COLUMNA BRAND STRATEGY & COLORS, S.A.
11. En respuesta a la solicitud de informacin realizada por el inspector
actuante, los representantes de GALERIA MIQUEL ALZUETA, S.L. remitieron
un escrito en el que manifestaron, en referencia al envo del correo
electrnico en cuestin, que:
11.1. Desconocen el origen del dato de la direccin de correo electrnico.
11.2. No disponen de acreditacin del consentimiento prestado por el
reclamante para la remisin de correos comerciales.
11.3. Recibieron un correo electrnico del reclamante solicitando la
cancelacin de sus datos cosa que hicieron y que le notificaron por
correo electrnico.
Pgina 21 de 63

El Director de la Agencia Espaola de Proteccion de datos acord iniciar

procedimiento sancionador contra A.A.A., por la presunta infraccin del artculo
10 de la LOPD, tipificada como leve y por la presunta infraccin del artculo 21.
1 y 2 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la
Informacin y Comercio Electrnico, tipificada como leve, y a GALERIA MIQUEL
ALZUETA, S.L., por la presunta infraccin del artculo 21.1 y 2, de la LSSI,
tipificada como leve.
GALERIA MIQUEL ALZUETA, S.L. present alegaciones en las que seal que:
Nuestra Galera hace unos meses mand por error un e-mail invitando a una
exposicin de navidad al Sr. B.B.B.. Su e-mail fue introducido en nuestra base
de datos por error, de forma inmediata el Sr. B.B.B. nos envi un mail, fecha
14.12.09 en el que nos indicaba que nos abstuvisemos de mandarle nueva
informacin a su correo electrnico, cosa que inmediatamente hicimos. El
mismo da le indicamos la baja y nuestras disculpas y nos respondi diciendo
que muchas gracias por nuestra rpida respuesta.
A.A.A. no formul alegaciones.
La LSSI, en su artculo 21.1, prohbe de forma expresa el envo de
comunicaciones publicitarias o promocionales por correo electrnico u otro
medio de comunicacin electrnica equivalente que previamente no hubieran
sido solicitadas o expresamente autorizadas por los destinatarios de las
mismas. Es decir, se desautorizan las comunicaciones comerciales dirigidas a
la promocin directa o indirecta de los bienes y servicios de una empresa,
organizacin o persona que realice una actividad comercial, industrial,
artesanal o profesional, si bien esta prohibicin encuentra la excepcin en el
segundo prrafo del citado artculo, que autoriza el envo cuando el prestador
hubiera obtenido de forma lcita los datos de contacto del destinatario y los
empleara para el envo de comunicaciones comerciales referentes a productos
o servicios de su propia empresa que sean similares a los que fueron objeto de
contratacin. De este modo, el envo de comunicaciones comerciales no
solicitadas, fuera del supuesto excepcional del art. 21,2 de la LSSI, puede
constituir una infraccin leve o grave de la LSSI. Como ya se ha sealado en
cuanto a la posible obtencin ilcita de los datos del destinatario, la prctica del
spam adems de suponer una infraccin a la LSSI, puede significar una
vulneracin de la legislacin sobre proteccin de datos, ya que hay que tener
en cuenta que la direccin de correo electrnico puede ser considerada como
dato de carcter personal.
Pgina 22 de 63

Por tanto, en relacin al concepto de consentimiento del destinatario para el

tratamiento de sus datos con la finalidad de enviarle comunicaciones
comerciales por va electrnica, es preciso considerar lo dispuesto en la
normativa de proteccin de datos y, en concreto, el artculo 3.h) de la LOPD que
establece:
Consentimiento del interesado: toda manifestacin de voluntad, libre,

inequvoca, especfica e informada, mediante la que el interesado consienta el
tratamiento de datos personales que le conciernen.
Como ya se ha sealado, la LSSI prohbe las comunicaciones comerciales no
solicitadas, partiendo de un concepto de comunicacin comercial que se califica
como servicio de la sociedad de la informacin y que se define en su Anexo de
la siguiente manera:
f) Comunicacin comercial: toda forma de comunicacin dirigida a la

promocin, directa o indirecta, de la imagen o de los bienes o servicios de una
empresa, organizacin o persona que realice una actividad comercial,
industrial, artesanal o profesional.
A efectos de esta Ley, no tendrn la consideracin de comunicacin comercial
los datos que permitan acceder directamente a la actividad de una persona,
empresa u organizacin, tales como el nombre de dominio o la direccin de
correo electrnico, ni las comunicaciones relativas a los bienes, los servicios o
la imagen que se ofrezca cuando sean elaboradas por un tercero y sin
contraprestacin econmica.
De conformidad con lo establecido en el artculo 38, en sus apartados 3 y 4 de la
LSSI, segn su redaccin aprobada por la por la disposicin adicional octava de
la Ley 59/2003, de 19 de diciembre, sobre normas reguladoras de la firma
electrnica, en vigor desde el 21/03/2004, se consideran infracciones graves y
leves las siguientes:
3. Son infracciones graves:

c) El envo masivo de comunicaciones comerciales por correo electrnico u otro
medio de comunicacin electrnica equivalente o el envo, en el plazo de un
ao, de ms de tres comunicaciones comerciales por los medios aludidos a un
Pgina 23 de 63

mismo destinatario, cuando en dichos envos no se cumplan los requisitos

establecidos en el artculo 21.
Finalmente, El Director de la Agencia Espaola de Proteccin de Datos resolvi:
1. IMPONER a la entidad GALERIA MIQUEL ALZUETA, S.L., por una infraccin
del artculo 21 de la LSSI, tipificada como leve en el artculo 38.4 d) de la
LSSI, una multa de 600 (seiscientos euros), de conformidad con lo
establecido en el artculo 39 de la citada LSSI.
2. IMPONER a la A.A.A., las siguientes sanciones:
-
Por la infraccin del artculo 21 de la LSSI, tipificada como leve en el

artculo 38.4 d) de la LSSI, una multa 1.200 (mil doscientos euros), de
conformidad con lo establecido en el artculo 39 de la citada ley.
Por la infraccin del artculo 10 de la LOPD, tipificada como leve en su

artculo 44, una multa de 3.000 (tres mil euros) de conformidad con lo
establecido en el artculo 45 de la citada Ley.
Pgina 24 de 63

Resolucin: R/02218/2010. Posible incumplimiento del

principio de calidad
Espaola de Proteccin de Datos a la entidad FRANCE TELECOM ESPAA S.A.,
vista la denuncia presentada por D. A.A.A. y en base a los siguientes,
Antecedentes
Con fecha de 27 de mayo de 2009 tuvo entrada en esta Agencia un escrito de D.
A.A.A., (en lo sucesivo el denunciante), en el que expone que con fecha 12 de
febrero de 2009 present reclamacin ante la Oficina de Atencin al Usuario de
Telecomunicaciones, del Ministerio de Industria, Turismo y Comercio, en
relacin con una reclamacin de deuda formulada por el operador de telefona
mvil ORANGE/ France Telecom Espaa, S.A., (en lo sucesivo la denunciada o
F.T.). Aade que el 14 de febrero de 2009 recibi una comunicacin de Equifax
Ibrica, S. L., en la que le informan de la inscripcin de la citada deuda en el
fichero Asnef. El denunciante solicit la cancelacin de los datos que figuraban
en el fichero el 5 de marzo de 2009, al amparo del artculo 38 del R. D.
1720/2007, por hallarse pendiente de resolucin la reclamacin citada. Tras
cumplimentar la subsanacin de la documentacin aportada que le solicit
Equifax Ibrica, S. L., esta entidad le comunic, mediante escrito de 7 de abril
de 2009, que no exista anotacin alguna en su fichero al da de la fecha.
Das despus, el 18 de abril de 2009, recibi una nueva comunicacin de
Equifax Ibrica, S.L., en la que le informan sobre una nueva inscripcin de la
misma deuda en el fichero Asnef. Dado que en esa fecha no haba recibido an
la comunicacin de la resolucin de la Oficina de Atencin al Usuario de
Telecomunicaciones, entiende que la reiteracin por parte de France Telecom
Espaa, S.A. en la cesin de datos de carcter personal a Asnef vulnera el
artculo 38 del R. D. 1720/2007
Los Servicios de Inspeccin de la Agencia solicitaron informacin a las
entidades Asnef Equifax, Servicios de Informacin sobre Solvencia Patrimonial
y Crdito, S.L., y a F.T., teniendo conocimiento de los siguientes extremos:
1. De la documentacin aportada por Equifax Ibrica, S.L. a requerimiento de la
inspeccin de datos, se desprende que con fecha 15 de diciembre de 2009
consta una anotacin en el fichero Asnef a nombre del denunciante,
Pgina 25 de 63

informada por F.T., con un saldo impagado de 284,14 , figurando como

fecha de alta el da 17 de abril de 2009. As mismo, en el fichero de BAJAS de
Asnef consta una anotacin a nombre del denunciante informada por F.T.
con idntico saldo deudor, figurando como fechas de alta y baja 9 de febrero
de 2009 y 16 de marzo de 2009 respectivamente y como motivo de la baja
DIRECTA por el titular.
2. De la documentacin aportada por el denunciante se desprende lo siguiente:
a. Con fecha 12 de febrero de 2009 present reclamacin ante la Oficina de
Atencin al Usuario de Telecomunicaciones de la Secretaria de Estado de
Telecomunicaciones y para la Sociedad de la Informacin. (en adelante
SETSI)
b. Con fecha 5 de marzo de 2009 solicit a Equifax Ibrica, S.L., la
cancelacin de datos.
c. Con fecha 7 de abril de 2009 recibi un escrito de Equifax Ibrica, en
relacin con la solicitud de cancelacin, en el que le informan que no existen
datos inscritos asociados a su identificador.
3. De la documentacin aportada por F.T. a requerimiento de la inspeccin de
datos se desprende lo siguiente:
a. El denunciante tiene impagada una factura emitida el 21 de octubre de
2008 por importe de 284,14 , de lo que se desprende que esta deuda es la
comunicada por F.T. al fichero Asnef.
b. F.T. remiti un escrito de alegaciones a la SETSI en relacin con la
reclamacin presentada por el denunciante ante dicha Secretara de
Estado, fechado el 11 de marzo de 2009 y del que aporta copia.
4. No se tiene constancia de que la SETSI hubiera dictado resolucin antes del
17 de abril de 2009, fecha en la que F.T. comunic por segunda vez al fichero
Asnef los datos del denunciante en relacin con la deuda objeto de
reclamacin.
Con fecha 24 de mayo de 2010 el Director de la Agencia Espaola de Proteccin
de Datos acord iniciar procedimiento sancionador a FRANCE TELECOM
ESPAA S.A. por presunta infraccin del artculo 4.3 de la Ley Orgnica
15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter Personal (en lo
Pgina 26 de 63

sucesivo LOPD), tipificada como infraccin grave en su artculo 44.3d), pudiendo

ser sancionada con multa de de 60.101,21 a 300.506,05 , de acuerdo con el
artculo 45.2 de la citada Ley.
F.T., formul alegaciones, significando, en sntesis, las siguientes cuestiones:
La incompetencia de la Agencia para conocer de los hechos objeto de este

procedimiento sancionador puesto que la determinacin de la existencia o
inexistencia de la deuda o facturacin indebida es una cuestin de
naturaleza civil, sustrada a la competencia de la AEPD a tenor de los
artculos 37 de la LOPD y 22 de la Ley Orgnica 6/1985.
En relacin a la infraccin imputada, manifiesta que los hechos, tal y como

se relacionan en el acuerdo de inicio, no constituyen infraccin alguna.
Afirma que inst la cancelacin de los datos del cliente en el fichero Asnef
con carcter inmediato, en cuanto tuvo conocimiento de la existencia de la
reclamacin en virtud de la notificacin de la Secretara de Estado de
Telecomunicaciones y de la Sociedad de la Informacin,
(SETSI). A tal efecto aporta impresin de pantalla en la que figura una

referencia a la entrada de una reclamacin procedente de este organismo en
fecha 25/02/2009. Aade tambin que la reclamacin ante la SETSI ha sido
desestimada por silencio administrativo y que, de haber existido una
facturacin indebida, estaramos ante una incidencia en la dinmica contractual
pero no ante una infraccin de la normativa de proteccin de datos.
Subsidiariamente, solicita la aplicacin del artculo 45.5 de la LOPD,

pretensin que funda en las siguientes circunstancias:
a) El acta 952/2006 de la inspeccin de la Agencia que refleja las medidas
implementadas en orden a la tutela debida de los derechos de los
clientes a la proteccin de sus datos personales.
b) La doctrina jurisprudencial reflejada en la SAN de 27 de octubre de 2006,
conforme a la cual los simples errores en la operativa de las compaas
no determina automticamente la existencia de una infraccin en
materia de proteccin de datos.
El 30 de agosto de 2010, atendiendo a la solicitud expresada por F.T. en su

escrito de alegaciones al Acuerdo de Inicio, la instructora del procedimiento
remiti a la denunciada una copia del expediente.
Pgina 27 de 63

Con fecha 28 de octubre de 2010 por la Instructora del Procedimiento se emiti

Propuesta de Resolucin en los siguientes trminos: Que por el Director de la
Agencia Espaola de Proteccin de Datos se sancione a FRANCE TELECOM
ESPAA S.A. con multa de 60.101,21 (sesenta mil ciento un euro con veintin
cntimos) por la infraccin del artculo 4.3 de la LOPD, tipificada como
infraccin grave en su artculo 44.3.d), dado que la Directiva 95/46 CE, del
Parlamento Europeo y del Consejo, que la LOPD traspone, establece en su
artculo 6. I. d) que Los Estados miembros dispondrn que los datos
personales sean.d) exactos, y cuando sea necesario, actualizados. Debern

tomarse todas las medidas razonables para que los datos inexactos o
incompatibles, con respeto a los fines para los que fueron recogidos o para los
que fueron tratados posteriormente, sean suprimidos o rectificados, indicando
el apartado 6.2 que Corresponder a los responsables del tratamiento
garantizar el cumplimiento de los dispuesto en el apartado. La obligacin

establecida en el artculo 4.3 de la Ley Orgnica 15/1999, implica que los datos
que se incorporen a cualquier fichero debern ser exactos y responder en todo
momento a la situacin actual de los afectados.
No obstante lo anterior, debemos precisar que a tenor de la Sentencia del
Tribunal Supremo de fecha 24 de febrero de 2009, dictada en el Recurso de
Casacin 489/2006, no existe vulneracin del artculo 4 de la LOPD si la
inexactitud del dato tiene como base la cuanta de la deuda, ya que, segn
afirma el Tribunal Supremo en la referida Sentencia en estos casos lo
procedente es reclamar la rectificacin.
En el supuesto que nos ocupa la conducta de F.T. sobre la que versa la
denuncia fue la inclusin en el fichero Asnef de los datos del denunciante, pese
a tener conocimiento de la existencia de una reclamacin pendiente ante la
SETSI, por el importe de la deuda reflejada en la factura emitida el 21 de
octubre de 2008. Del examen de la citada factura se comprueba que la
controversia planteada deriva exclusivamente de la cuanta de la deuda, (el
importe facturado en concepto de roaming, que el denunciante reconoce haber
activado con su operador antes de viajar a Italia).
El Director de la Agencia Espaola de Proteccin de Datos resolvi proceder al
ARCHIVO de las presentes actuaciones, a la luz del criterio jurisprudencial
mantenido en la Sentencia del T.S. de 24 de febrero de 2009, que la
discrepancia sobre la cuanta de la deuda no afecta a su certeza, de manera
que la inclusin de los datos del denunciante en el fichero de solvencia
Pgina 28 de 63

patrimonial y crdito asociada a la deuda que se reclama y que debe calificarse

como cierta, se ajust a los requisitos exigidos en la LOPD y su normativa de
desarrollo.
Pgina 29 de 63

Resolucin: R/02162/2010. Incumplimiento del deber

de secreto
Espaola
de
Proteccin
de
Datos
la
entidad
COLEGIO
LA
COMPASIN/ESCOLAPIOS, vista la denuncia presentada por A.A.A. y B.B.B. y

en base a los siguientes,
Con fecha 02/03/2010, tuvo entrada en esta Agencia Espaola de Proteccin de
Datos un escrito de A.A.A. y B.B.B. (en lo sucesivo los denunciantes), en el que
denuncia al COLEGIO LA COMPASIN-ESCOLAPIOS de Pamplona (en lo
sucesivo COLEGIO LA COMPASIN), por haber facilitado a un tercero datos
personales de los denunciantes y de su hijo menor, que cursa estudios en el
mencionado Colegio, en concreto los relativos a nombre y apellidos de la
denunciante y el hijo menor y domicilio familiar, que fueron utilizados para
formular una denuncia contra ellos ante el Juzgado de Instruccin nmero 5 de
Pamplona por unos incidentes personales. Los denunciante aaden que la
comunicacin de tales datos personales tuvo lugar en fecha 12/06/2009.
Asimismo, advierten sobre el perjuicio econmico que estos hechos les han
producido, que cuantifican en 210 euros, adems del dao moral.
Por los mismos hechos, los denunciantes presentaron una queja ante el
Defensor del Pueblo de la Comunidad Foral de Navarra, que dict Resolucin
de fecha 12/01/2010, en la se indica lo siguiente:
I. ANTECEDENTES
1. Tuvo entrada en esta Institucin, con fecha 21 de octubre de 2009, un escrito,
suscrito por los denunciantes, en el que se manifiesta una queja relativa a la
actuacin de un centro docente (Colegio La Compasin Escolapios).
Los interesados exponen que, hace aproximadamente dos aos, tuvieron un
incidente con el padre de otro alumno del centro, en un paso peatonal
cercano al mismo, percance que, finalmente, ha derivado en un
procedimiento judicial.
Sealan que, a raz de tal incidente, esta persona se dirigido al Colegio, con
la pretensin de acceder a los datos correspondientes al hijo de los autores
de la queja, con la finalidad ltima de identificar a stos.
Pgina 30 de 63

Segn afirman los denunciantes, el Colegio, de forma a su juicio indebida y

atentatoria contra la intimidad del menor, le permiti a esta persona acceder
a la fotografa y datos de su hijo.
2. Examinada la queja, se solicit al Departamento de Educacin la emisin de
un informe sobre la cuestin suscitada. Con fecha 11 de noviembre de 2009,
se ha recibido en el Servicio de Inspeccin Educativa el escrito de respuesta
de don..., Director Acadmico del centro, en el que manifiesta:
Que con fecha 17 de junio de 2009, recib en mi despacho a... (terceros),

padres de dos alumnas del Colegio y vecinos de...
Que dichos padres relatan los hechos acontecidos desde que un da..
(tercero) tuvo un enfrentamiento con una seora y su hijo por cruzar stos
un semforo en rojo para peatones, hasta el ltimo de una serie de hechos
de la misma ndole que concluyen con otro enfrentamiento, esta vez con el
cnyuge de la seora y con ella misma, a puertas de nuestro centro
escolar, el viernes 12 de junio de 2009.
Que la intencin de... (terceros) es, por una parte, la de informar a la

Direccin del Colegio de los hechos ocurridos y antecedentes sealados, y
por otra, la de confirmar si la otra pareja son padres de un alumno del
Colegio.
Que a la vista de los rasgos fsicos que facilitan los padres, resulta
imposible confirmar si son o no padres del Colegio; sin embargo,... (tercero)
se ve capaz de identificar, si hubiera alguna fotografa, al hijo de la pareja,
con la que lo ha visto en otras ocasiones.
Que por los datos de edad aproximada que se estima del hijo, y que son
presentados por ... (tercero), se calcula que pudiera cursar 1 o 2 de ESO, y
se accede a la pgina web del Colegio donde habitualmente se exponen
fotografas de las diversas actividades, salidas, etc., que realiza nuestro
alumnado y que pueden ser visionadas por sus padres.
Que durante el visionado de fotografas se consigue la identificacin del

alumno, que resulta ser... (hijo de los denunciantes), que cursaba en ese
momento 1 de ESO.
Que aparte del nombre del alumno y la certificacin de que estaba

matriculado en este Centro, no se ha facilitado desde esta Direccin ningn
otro tipo de informacin sobre la familia... (denunciantes), ni de ninguno de
Pgina 31 de 63

sus miembros, y no se tiene constancia alguna de que se haya realizado

desde ninguna dependencia".
Por otra parte, segn consta en la documentacin aportada por los
denunciantes, los incidentes personales a los que se refieren en su denuncia,
motivaron una denuncia ante el Juzgado de Instruccin nmero 5 de
Pamplona, que dict Sentencia de fecha 18/12/2009 en la que se conden a los
denunciantes al pago de una multa.
Con fecha 20/05/2010, el Director de la Agencia de Proteccin de Datos acord
iniciar procedimiento sancionador a la entidad COLEGIO LA COMPASIN por la
presunta infraccin del artculo 10 de la Ley Orgnica 15/1999, de 13 de
diciembre, de Proteccin de los Datos de Carcter Personal (en lo sucesivo
LOPD), tipificada como leve.
En el presente caso, ha quedado acreditado que el COLEGIO LA COMPASIN,
entidad responsable del fichero en el que se registran los datos personales de
sus alumnos, facilit a terceros los datos personales relativos al hijo de los
denunciantes, con indicacin del nombre, apellidos, su condicin de alumno del
Centro y los estudios que cursaba, resultando que dicha entidad no actu con la
diligencia debida al haber posibilitado que terceras personas tuviesen acceso a
la informacin sealada, por lo que se vulnera el deber de secreto que
incumba a al COLEGIO LA COMPASIN a tenor del artculo 10 de la LOPD.
A este respecto, no cabe estimar las alegaciones efectuadas por el COLEGIO LA
COMPASIN, que el Centro actu en el marco de su Reglamento de Rgimen
Interior y de la LODE, a las que estn sometidos los padres de los alumnos
bajo el control del Colegio, al tener conocimiento de un hecho que alteraba o
poda alterar las normas de convivencia establecidas, por cuanto ha quedado
acreditado, segn el detalle que consta en los antecedentes de la presente
Resolucin, que la revelacin de datos no se produce en el marco de una
actuacin del Centro en su mbito de competencias y que el motivo por el que
se facilita a terceros la informacin relativa al hijo de los denunciantes est
relacionado con un conflicto privado ajeno al COLEGIO LA COMPASIN,
debiendo destacarse, adems, que esta circunstancia era conocida por el citado
Centro con anterioridad a la entrega de los datos del alumno.
Dicho conflicto privado, con independencia de que los implicados en el mismo
fuesen padres de alumnos del COLEGIO LA COMPASIN, no justifica la entrega
de datos personales realizada a terceros por parte de dicha entidad, que estaba
Pgina 32 de 63

obligada a respetar la confidencialidad de la informacin correspondiente a sus

alumnos y a utilizarla exclusivamente en el mbito docente.
Por otra parte, tampoco cabe aceptar las alegaciones efectuadas por la entidad
imputada, que considera justificada su actuacin segn las previsiones
establecidas en los artculos 6 y 11 de la LOPD, por cuanto en el presente
supuesto no se analiza una vulneracin de estos artculos por tratamiento de
los datos del alumno sin consentimiento, ni las normas citadas por el COLEGIO
LA COMPASIN contemplan la comunicacin de datos realizada a terceros con
los fines particulares expresados.
Finalmente, cabe sealar que el COLEGIO LA COMPASIN invoca en su defensa
una norma, como es el Decreto Foral 47/2010, de 23 de agosto, aprobado con
posterioridad a los hechos que motivan el procedimiento.
La LOPD califica como infraccin leve, grave o muy grave la infraccin del
artculo 10 de la citada norma, dependiendo del contenido de la informacin
que ha sido indebidamente facilitada a terceros.
El incumplimiento del deber de guardar secreto establecido en el citado
artculo 10 de la LOPD constituye, por regla general, una infraccin leve
tipificada en el artculo 44.2.e), segn el cual:
Incumplir el deber de secreto establecido en el artculo 10 de esta Ley, salvo

que constituya infraccin grave.
Tal incumplimiento slo constituye una infraccin grave cuando la vulneracin
del deber de guardar secreto afecte a ... los datos de carcter personal
incorporados a ficheros que contengan datos relativos a la comisin de

infracciones administrativas o penales, Hacienda Pblica, servicios financieros,
prestacin de servicios de solvencia patrimonial y crdito, as como aquellos
otros ficheros que contengan un conjunto de datos de carcter personal
suficientes para obtener una evaluacin de la personalidad del individuo.
Dado que la vulneracin del deber de secreto respecto de los datos personales
del hijo de los denunciantes, no permiten realizar una evaluacin de la
personalidad del mismo, dicha vulneracin del artculo 10 debe ser tipificada
como infraccin leve.
Pgina 33 de 63

El Director de la Agencia Espaola de Proteccin de Datos resolvi imponer a

la entidad COLEGIO LA COMPASIN/ESCOLAPIOS, por una infraccin del
artculo 10 de la LOPD, tipificada como leve en el artculo 44.2.e) de dicha
norma, una multa de 2.000,00 (dos mil euros).
Pgina 34 de 63

Resolucin: R/01461/2010. Derecho de acceso

Espaola de Proteccin de Datos a la entidad CASUARINA BEACH, S.L. (DORSIA
CLNICA DE ESTTICA), vista la denuncia presentada por Doa A.A.A., y en base
a los siguientes,
Antecedentes
PRIMERO: Con fecha 15 de diciembre de 2009, tuvo entrada en esta Agencia un
escrito remitido por Doa A.A.A. (en lo sucesivo la denunciante), en el que
denuncia que, tras haberse dictado la resolucin R/2270/2009, relativa a la
tutela de derecho TD/00845/2009, por la que se estimaba la reclamacin
formulada por la denunciante y se instaba a DORSIA CLNICA DE ESTTICA
para que en el plazo de diez das procediera a facilitar el acceso completo a su
historia clnica, dicha entidad no le proporcion el acceso, limitndose a
remitirle un Burofax en el que certifica que se la ha facilitado el acceso
completo a la historia clnica, sin que en ningn caso figure dicha historia, ms
an cuando en el propio documento resumen de Burofax se hace referencia a
que el mismo consta nicamente de una pgina, excluyendo cartula.
En fecha 28 de diciembre de 2009, a partir del escrito de reclamacin antes
mencionado interpuesto por la denunciante, esta Agencia Espaola de
Proteccin de Datos solicit a Dorsia la certificacin del cumplimiento del
derecho de acceso pretendido por la afectada, sealando, en caso contrario, la
procedencia de la apertura del correspondiente procedimiento sancionador
previsto en el artculo 48 de la Ley Orgnica 15/1999, de 13 de Diciembre, de
Proteccin de Datos de Carcter Personal (en adelante la LOPD). Dorsia, en
escrito de 15 de enero de 2010 procedi a aportar como muestra del
cumplimiento de la resolucin R/2270/2009, copia del mismo Burofax facilitado
por la denunciante, en el que consta un sumario de documentos, pero no la
inclusin de los mismos, figurando tanto en la cartula del Burofax, como en el
documento de tramitacin de envo de Correos, el hecho de que la
comunicacin constaba nicamente de un documento, excluyendo la cartula.
La Subdireccin General de Inspeccin de Datos realiz las actuaciones previas
de investigacin para el esclarecimiento de los hechos denunciados, teniendo
conocimiento de los siguientes extremos:
Pgina 35 de 63

Con fecha 22 de octubre de 2009, el Director de la AEPD dict la resolucin

R/2270/2009, relativa a la tutela de derecho TD/00845/2009, por la que se
estimaba la reclamacin formulada por la denunciante y se instaba a
DORSIA CLNICA DE ESTTICA para que en el plazo de diez das procediera
a facilitar el acceso completo a su historia clnica.
Con fecha 27 de noviembre de 2009, DORSIA CLNICA DE ESTTICA remiti

un Burofax a la denunciante en el que se certificaba que le haba facilitado
el acceso completo a su historia clnica, mediante remisin anexa a ese
escrito de los siguientes documentos:
1. Contratos
2. Consentimiento informado
3. Evolucin mdica
4. Evolucin post-quirrgica.
5. Anlisis.
Con fecha 15 de diciembre de 2009, la denunciante present denuncia ante

la Agencia manifestando que la entidad se limit a remitirle dicho Burofax
en el que certificaba que se la ha facilitado el acceso completo a la historia
clnica, sin que en ningn caso figurase dicha historia.
El Director de la Agencia Espaola de Proteccin de Datos, acord iniciar

procedimiento sancionador a CASUARINA BEACH, S.L. (DORSIA CLNICA DE
ESTTICA), por la posible infraccin del artculo 15 de la LOPD, tipificada como
grave.
En fecha 16 de abril de 2010 se notific fehacientemente el Acuerdo de Inicio a
la entidad CASUARINA BEACH, S.L. (DORSIA CLNICA DE ESTTICA).
DORSIA CLNICA DE ESTTICA no formul alegaciones.
Es competente para resolver este procedimiento el Director de la Agencia
Espaola de Proteccin de Datos, de conformidad con lo dispuesto en el
artculo 37. g) en relacin con el artculo 36 de la LOPD.
Pgina 36 de 63

El artculo 13.2 del Real Decreto 1398/1993, de 4 de agosto, por el que se

aprueba el Reglamento del Procedimiento para el Ejercicio de la Potestad
Sancionadora., dispone que El acuerdo de iniciacin se comunicar al
instructor, con traslado de cuantas actuaciones existan al respecto, y se
notificar al denunciante, en su caso, y a los interesados, entendiendo en todo
caso por tal al inculpado. En la notificacin se advertir a los interesados que,
de no efectuar alegaciones sobre el contenido de la iniciacin del
procedimiento en el plazo previsto en el artculo 16.1, la iniciacin podr ser
considerada propuesta de resolucin cuando contenga un pronunciamiento
preciso acerca de la responsabilidad imputada, con los efectos previstos en los
artculos 18 y 19 del Reglamento.
En el presente caso, ha quedado acreditado que la denunciante solicit a
DORSIA CLNICA DE ESTTICA el acceso a sus datos personales, en concreto a
los contenidos en la historia clnica. La mencionada clnica no atendi tal
derecho dando lugar a la instruccin del procedimiento de Tutela de Derechos.
Dorsia Clnica de Esttica tampoco facilit dicha informacin a la denunciante
cuando, tras la tramitacin del procedimiento de tutela de derechos n.:
TD/00845/2009, fue requerida para ello por el Director de la Agencia Espaola
de Proteccin de Datos en la resolucin n R/02270/2009, de fecha 22 de octubre
de 2009, ya que le envi un burofax que no contena ningn dato de los que se
indicaba que se remitan.
En consecuencia, ha de entenderse que DORSIA CLNICA DE ESTTICA ha
vulnerado el artculo 15 de la LOPD, pues no puede entenderse satisfecho el
derecho de acceso cuando no se ha facilitado a la denunciante la informacin
solicitada, como as se traduce del hecho de que tanto en la documentacin
facilitada por la afectada, como en la facilitada por DORSIA, tras reiteracin de
solicitud efectuada por esta Agencia, nicamente consta el hecho de que se
realiz una comunicacin mediante Burofax, que constaba de 2 hojas, la
cartula del envo y un sumario de documentos, pero no constando la
comunicacin de los documentos citados.
El artculo 44.3.e) de la LOPD, tipifica como infraccin grave El impedimento o
la obstaculizacin del ejercicio de los derechos de acceso y oposicin y la

negativa a facilitar la informacin que sea solicitada, En el presente
procedimiento ha quedado acreditado que Dorsia Clnica de Esttica ha
incurrido en la infraccin descrita, ya que no facilit a la denunciante el acceso
Pgina 37 de 63

a los datos existentes en sus ficheros impidiendo por tanto el derecho de

acceso amparado por el artculo 15 de la LOPD, a pesar de que por Resolucin
de esta Agencia se estimaba la reclamacin de Tutela de Derechos y se le
instaba a dar cumplimiento al acceso solicitado, circunstancia que se vio
reiterada a partir de la comunicacin efectuada por la Agencia Espaola de
Proteccin de Datos, en fecha 28 de diciembre de 2009, ante reclamacin
presentada por la afectada, por la falta de cumplimiento de la Resolucin
R/02270/2009 al TD/00845/2009, en la que se instaba a acreditar el ejercicio del
correspondiente derecho de acceso, circunstancia que Dorsia, nuevamente, no
acredit.
El Director de la Agencia Espaola de Proteccin de Datos resolvi:
1. Imponer a la entidad CASUARINA BEACH, S.L. (DORSIA CLNICA DE
ESTTICA), por una infraccin del artculo 15 de la LOPD, tipificada como grave,
una multa de 60.101,21 (sesenta mil ciento un euro con veintin cntimos) de
conformidad con lo establecido en el artculo 45.2 y 4 de la citada Ley Orgnica.
2. Instar a CASUARINA BEACH, S.L. (DORSIA CLNICA DE ESTTICA), a facilitar,
en el plazo de diez das desde la notificacin de la presente resolucin, el
acceso a la afectada, de la historia clnica completa que ha venido solicitando,
apercibindose de que en caso de no realizarse, se podr entender que
concurren las causas necesarias para iniciar un procedimiento sancionador, al
estar incurso en el supuesto tipificado como muy grave.
Pgina 38 de 63

Informe 0636/2009. Administradores de fincas como

encargados de tratamiento
El artculo 3 d) de la Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de
Datos de Carcter Personal, define al responsable del fichero como la persona
fsica o jurdica, de naturaleza pblica o privada, u rgano administrativo, que

decida sobre la finalidad, contenido y uso del tratamiento.
A la vista de este concepto, ser necesario determinar quin decide sobre la
finalidad, objeto y uso de los datos. Ser cuestin fundamental resolver cul es
la finalidad a la que se encontraran sujetos los ficheros que contuvieran los
datos de los propietarios, tomando en consideracin la cuestin de la tenencia
de dichos ficheros por el Administrador.
En el supuesto de los datos relativos a las Comunidades de Propietarios, la
finalidad de mantener los mismos es, precisamente, asegurar el cumplimiento
por stos de las obligaciones impuestas por la Ley 49/1960, de 21 de julio,
sobre Propiedad Horizontal, as como garantizar el adecuado ejercicio por los
mismos de los derechos que les corresponden en la comunidad. En resumidas
cuentas, la finalidad perseguida por el mantenimiento de estos ficheros ser la
de asegurar el correcto desenvolvimiento de la comunidad.
De lo antedicho se desprende que la condicin de responsable del fichero
recaer sobre la propia Comunidad de Propietarios que es quien, a travs de
sus rganos de Gobierno y, en su caso, de la Junta, resolver sobre las
cuestiones relacionadas con la misma, siendo as que, de lo establecido en el
artculo 13 de la Ley se desprende que el Presidente cuando acte en el
ejercicio de las funciones relacionadas con una determinada comunidad, no es
sino un rgano integrado en la misma.
As en el Rgimen de Propiedad Horizontal, el administrador colegiado de
fincas, que ejerce la administracin de una o de varias comunidades de
propietarios por encargo del responsable, acta como encargado del
tratamiento, al que se refiere el artculo 3 g) de la Ley Orgnica 15/1999, que lo

configura como la persona fsica o jurdica, autoridad pblica, servicio o
cualquier otro organismo que, solo o conjuntamente con otros, trate datos
personales por cuenta del responsable del tratamiento. Para que la relacin
entre responsable y encargado del tratamiento pueda darse y se ajuste a la
Pgina 39 de 63

Ley, es preciso que se cumplan los requisitos expresados en el artculo 12 de

la Ley Orgnica 15/1999, considerando los siguientes aspectos:
En primer lugar, es preciso que el acceso a los datos por el tercero (en el
presente caso por el consultante) se efecte con la exclusiva finalidad de
prestar un servicio al responsable del fichero, y que dicha relacin de servicios
se encuentre contractualmente establecida. En lo que atae a los requisitos
formales de este tipo de contratos, el artculo 12.2 de la Ley Orgnica 15/1999
impone que la realizacin de tratamientos por cuenta de terceros deber estar
regulada en un contrato que deber constar por escrito o en alguna otra forma
que
permita
acreditar
su
celebracin
contenido,
establecindose
expresamente que el encargado del tratamiento, nicamente, tratar los datos

conforme a las instrucciones del responsable del tratamiento, que no los
aplicar o utilizar con fin distinto al que figure en dicho contrato, ni los
comunicar, ni siquiera para su conservacin, a otras personas.
En consecuencia, el encargado del tratamiento, en el presente supuesto el
administrador de fincas consultante, deber limitarse a emplear los datos en el
mbito de las funciones que la comunidad le haya atribuido, por ello, estar
actuando conforme a las instrucciones del responsable del tratamiento cuando
comunique a un rgano de la comunidad en el ejercicio de sus funciones, en el
caso planteado al Presidente de sta que as lo solicita, los datos de los
propietarios contenidos en los ficheros que el encargado del tratamiento
custodia. El hecho de que la relacin derivada del contrato sea la existente
entre un responsable y un encargado del tratamiento implicar, que al trmino
de la relacin sea aplicable lo establecido en el artculo 12.3 de la LOPD, de
forma que una vez cumplida la prestacin contractual, los datos de carcter
personal debern ser destruidos o devueltos al responsable del tratamiento, al

igual que cualquier soporte o documentos en que conste algn dato de carcter
personal objeto del tratamiento.
El incumplimiento de esta previsin llevar aparejada la consecuencia, prevista
en el artculo 12.4 de la LOPD, de que En el caso de que el encargado del
tratamiento destine los datos a otra finalidad, los comunique o los utilice
incumpliendo las estipulaciones del contrato, ser considerado, tambin,
responsable del tratamiento, respondiendo de las infracciones en que hubiera
incurrido personalmente.
Pgina 40 de 63

La Agencia Espaola de Proteccin de Datos ha venido indicando que el deber

de devolucin al que se refiere el artculo 12.3 de la LOPD podr verificarse
mediante la entrega directa de los datos al propio responsable del tratamiento
o mediante la realizacin de dicha entrega al encargado del tratamiento que
ste designase, toda vez que en este segundo caso el encargado actuara como
mero mandatario del responsable, siendo precisamente ste el que establece a
quin han de entregarse los datos en su nombre y por su cuenta. Y as se
recoge en el artculo 20.3 del Reglamento antes citado no obstante, el
encargado del tratamiento no incurrir en responsabilidad cuando, previa

indicacin expresa del responsable, comunique los datos a un tercero
designado por aqul, al que hubiera encomendado la prestacin de un servicio
conforme a lo previsto en el presente captulo.
Este ltimo precepto responde a la segunda consulta formulada, de manera
que el administrador saliente deber ceder los datos de los propietarios de la
finca al administrador entrante si recibe dicha indicacin expresa de la
comunidad de vecinos a la que prestaba sus servicios.
Por su parte, el artculo 22 del aludido Reglamento dispone respecto de la
conservacin de los datos lo siguiente:
1. Una vez cumplida la prestacin contractual, los datos de carcter personal

debern ser destruidos o devueltos al responsable del tratamiento o al
encargado que ste hubiese designado, al igual que cualquier soporte o
documentos en que conste algn dato de carcter personal objeto del
tratamiento.
No proceder la destruccin de los datos cuando exista una previsin legal
que exija su conservacin, en cuyo caso deber procederse a la devolucin
de los mismos garantizando el responsable del fichero dicha conservacin.
2. El encargado del tratamiento conservar, debidamente bloqueados, los datos
en tanto pudieran derivarse responsabilidades de su relacin con el
responsable del tratamiento.
Por ltimo, en cuanto a las medidas de seguridad que hayan de ser adoptadas
por quienes realicen trabajos de tratamiento de datos por cuenta de terceros,
habrn de ser, en principio, las mismas que las impuestas al responsable del
Pgina 41 de 63

fichero, tal y como se desprende de lo previsto en los artculos 9 y 12.2 de la

LOPD.
Pgina 42 de 63

Informe 172/2006. Condicin de encargada

responsable de las empresas de trabajo temporal
La consulta plantea si las empresas de trabajo temporal han de ser

consideradas encargadas del tratamiento de las empresas usuarias con las
que celebren, en su caso, un contrato de puesta a disposicin de los
trabajadores contratados por aqullas.
El artculo 3 g) de la Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de
Datos de Carcter Personal, define al encargado del tratamiento como La
persona fsica o jurdica, autoridad pblica, servicio o cualquier otro organismo

que, solo o conjuntamente con otros, trate datos personales por cuenta del
responsable del tratamiento.
Al propio tiempo, el artculo 12.1 de la Ley dispone que No se considerar
comunicacin de datos el acceso de un tercero a los datos cuando dicho acceso

sea necesario para la prestacin de un servicio al responsable del tratamiento.
La consulta indica que como consecuencia del contrato de puesta a disposicin,
el trabajador pasa a quedar sujeto a la organizacin y dependencia de la
empresa usuaria, por lo que no existira en la prctica acceso alguno por parte
de la empresa de trabajo temporal a los datos a los que pudiese,
efectivamente, acceder el trabajador al que se refiera el contrato.
En este sentido, se recuerda que el artculo 6.1 de la Ley 14/1994, de 1 de junio,
dispone que El contrato de puesta a disposicin es el celebrado entre la
empresa de trabajo temporal y la empresa usuaria teniendo por objeto la

cesin del trabajador para prestar servicios en la empresa usuaria, a cuyo
poder de direccin quedar sometido aqul.
A ello cabe aadir que segn el artculo 7.2 Si a la finalizacin del plazo de
puesta a disposicin el trabajador continuara prestando servicios en la

empresa usuaria, se le considerar vinculado a la misma por un contrato
indefinido, aadiendo el artculo 12.1 que Corresponde a la empresa de
trabajo temporal el cumplimiento de las obligaciones salariales y de Seguridad
Social en relacin con los trabajadores contratados para ser puestos a
disposicin de la empresa usuaria.
Pgina 43 de 63

Asimismo, el artculo 14 viene a diferenciar de los trabajadores a los que se

refiere el contrato de puesta a disposicin, a los trabajadores sometidos a la
direccin y control de la empresa de trabajo temporal, indicando que las
previsiones de la Ley no sern de aplicacin a stos ltimos.
Por ltimo, el artculo 15.1 dispone que Cuando los trabajadores desarrollen
tareas en el mbito de la empresa usuaria, de acuerdo con lo previsto en esta

norma, las facultades de direccin y control de la actividad laboral sern
ejercidas por aqulla durante el tiempo de prestacin de servicios en su
mbito, si bien aade que En tales supuestos, y sin perjuicio del ejercicio por
la empresa de trabajo temporal de la facultad disciplinaria atribuida por el
artculo 58 del Estatuto de los Trabajadores, cuando una empresa usuaria
considere que por parte del trabajador se hubiere producido un incumplimiento
contractual lo pondr en conocimiento de la empresa de trabajo temporal, a fin
de que, por sta, se adopten las medidas sancionadoras correspondientes.
Por su parte, el Real Decreto 4/1995, de 13 enero, de desarrollo de la Ley
14/1994, establece en su Anexo 3 el contenido del contrato de puesta a
disposicin, limitndose a exigir, en cuanto a la descripcin de la actividad
laboral a desarrollar el trabajador cedido, dentro del mbito de organizacin y
direccin de la empresa usuaria las caractersticas del puesto de trabajo en lo
referente a cualificacin requerida, funciones, riesgos del puesto, equipos
de proteccin individual, instalaciones colectivas y horario de trabajo, sin

que de dicho contenido se desprenda la necesaria inclusin en el contrato de
los tratamientos que sern efectuados por el trabajador.
De todo lo antedicho parece desprenderse que, efectivamente, la empresa de
trabajo temporal no tendr ms que una funcin de mediacin entre el
trabajador y la empresa usuaria, de modo que el trabajador pasa a someterse
a las condiciones derivadas del puesto de trabajo que ocupa en la empresa
usuaria, convirtindose en trabajador indefinido de la misma si no cesase en
su prestacin al trmino del contrato.
Al propio tiempo, los poderes de organizacin y direccin, caractersticos de la
relacin laboral, correspondern a la empresa usuaria, que podr poner en
conocimiento de la empresa de trabajo temporal, conforme dispone el artculo
15 de la Ley 14/1994 el incumplimiento contractual producido.
Pgina 44 de 63

De este modo, la empresa de trabajo temporal no tendr siquiera conocimiento

de los datos a los que acceda o a cuyo tratamiento proceda el trabajador, no
pudiendo adquirir los compromisos derivados del artculo 12 de la Ley
Orgnica 15/1999, por cuanto no utilizar los datos del responsable para ningn
fin, ni podr devolver dato alguno al trmino de la relacin contractual, ni podr
implantar sobre el tratamiento las medidas de seguridad previstas en el Real
Decreto 994/1999, de 11 de junio, dado que dichos datos no obran en su poder.
Por tanto, y a la vista de lo que se ha venido indicando en el presente informe,
cabe considerar que, tal y como se plantea en la consulta, la empresa de
trabajo temporal no tiene la condicin de encargada del tratamiento respecto
de los datos de los que sea responsable la empresa usuaria y a los que acceda
el trabajador al que se refiera el contrato de puesta a disposicin, sin perjuicio
de la condicin que le corresponda respecto del tratamiento de los datos
referidos a los citados trabajadores.
Pgina 45 de 63

Informe 0222/2010. Derecho a conocer los orgenes

biolgicos
La consulta plantea si resulta conforme a la Ley Orgnica 15/1999, de 13 de
diciembre, de Proteccin de Datos de Carcter Personal, la comunicacin de la
informacin que consta en los archivos parroquiales sobre una persona a
solicitud de una Entidad Pblica espaola de proteccin de menores.
De la consulta parece deducirse que la solicitud de informacin se refiere al
ejercicio del derecho a conocer los orgenes biolgicos, reconocido en el
artculo 180 del Cdigo Civil, tras la modificacin operada por la Ley 54/2007, de
28 de diciembre, de Adopcin internacional.
Si bien en la consulta no se aporta informacin alguna sobre la persona cuyos
datos se solicitan, debe sealarse en primer trmino que esta Agencia ha
venido sealando en sus informes que las normas de la Ley Orgnica 15/1999,
no resultan de aplicacin a las personas fallecidas. En la actualidad, el artculo
2.4 del Reglamento de desarrollo de la Ley Orgnica 15/1999, aprobado por
Real Decreto 1720/2007, de 21 de diciembre, dispone expresamente en su
primer inciso que Este Reglamento no ser de aplicacin a los datos referidos
a personas fallecidas. En consecuencia, no se encontrara sometida a la

normativa de proteccin de datos la comunicacin de los datos solicitados si la
persona a que se refieren hubiera fallecido.
En otro caso, el reconocimiento del derecho del adoptado a conocer sus
orgenes biolgicos supone una cesin de datos de carcter personal referida a
los padres biolgicos del adoptado, al definir el artculo 3 i) de la Ley Orgnica
15/1999 la cesin como Toda revelacin de datos realizada a una persona
distinta del interesado.

Tal cesin debe sujetarse al rgimen general de comunicacin de datos de
carcter personal establecido en el artculo 11 de la misma Ley, donde se
establece que la misma solo puede verificarse para el cumplimiento de fines
directamente relacionados con las funciones legitimas del cedente y cesionario
y exige, para que pueda tener lugar, el consentimiento del interesado (artculo
11.1), otorgado con carcter previo a la cesin y suficientemente informado de
la finalidad a que se destinarn los datos cuya comunicacin se autoriza o el
tipo de actividad de aqul a quien se pretenden comunicar (artculo 11.3), y que
Pgina 46 de 63

debe recabar el cedente como responsable del fichero que contiene los datos
que se pretenden ceder.
No obstante, el artculo 11.2 prev una serie de excepciones a la necesidad de
contar con el consentimiento del afectado que, a los efectos que interesan en el
presente supuesto, quedan limitadas a la contenida en el apartado a) que prev
la posibilidad de cesin inconsentida Cuando la cesin est autorizada en una
Ley. Por tanto, ser necesario que exista una norma con rango de Ley, estatal
o autonmica, que habilite la cesin no consentida de los datos.
El artculo 180 del Cdigo Civil dispone en su nmero 5 Las personas
adoptadas, alcanzada la mayora de edad o durante su minora de edad

representadas por sus padres, tendrn derecho a conocer los datos sobre sus
orgenes biolgicos. Las Entidades Pblicas espaolas de proteccin de
menores, previa notificacin a las personas afectadas, prestarn a travs de
sus servicios especializados el asesoramiento y la ayuda que precisen los
solicitantes para hacer efectivo este derecho .
Se establece as un supuesto de habilitacin legal de la cesin de los
mencionados datos de carcter personal, de manera que la cesin por el
consultante de los datos necesarios para que la Entidad Pblica de proteccin
de menores a que se refiere la consulta ejerza las funciones que se le
atribuyen de ayuda a los solicitantes para hacer efectivo su derecho, se
encuentra amparada en el artculo 11.2.a de la Ley Orgnica 15/1999, en
relacin con lo dispuesto en el artculo 180.5 del Cdigo Civil.
No obstante, esta Agencia ha sealado reiteradamente, que el establecimiento
de una habilitacin legal para el tratamiento o cesin de datos de carcter
personal, no puede considerarse sin ms conforme al derecho fundamental a
la proteccin de datos si dicha excepcin no ampara el respeto a los restantes
principios contenidos en la Ley Orgnica 15/1999 y, en particular, los
establecidos en su artculo 4, cuyo nmero primero dispone lo siguiente:
Los datos de carcter personal slo se podrn recoger para su tratamiento,

as como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes
y no excesivos en relacin con el mbito y las finalidades determinadas,
explcitas y legtimas para las que se hayan obtenido.
Pgina 47 de 63

En consecuencia, la cesin deber limitarse a aquellos datos que permitan a la

Entidad Pblica de proteccin de menores el ejercicio de sus funciones,
asimismo, el nmero segundo del artculo 4 de la Ley Orgnica 15/1999 exige
que los datos sean tratados nicamente para las finalidades que motivaron su
recogida, en este caso, las establecidas en el aludido artculo 180 del Cdigo
Civil de ayuda, previa notificacin a las personas afectadas, a los solicitantes
del derecho sin que quepa emplear dichos datos personales para finalidades
distintas de las mencionadas.
Pgina 48 de 63

Informe 0337/2008
La consulta plantea, si al amparo de Ley Orgnica 15/1999, de 13 de diciembre
de Proteccin de Datos de Carcter Personal, se pueden comunicar a una
empresa los datos relativos a las nminas, parte mdico de los trabajadores y
los TC1 y TC2.
Segn se indica, la transmisin de los datos, as como su previo tratamiento, se
encontrara amparado en lo dispuesto en la Ley 31/1995, de 8 de noviembre, de
Prevencin de Riesgos Laborales.
La transmisin, as planteada, implica la existencia de una cesin o
comunicacin de datos de carcter personal, definida por el artculo 3 i) de la
Ley Orgnica 15/1999 como Toda revelacin de datos realizada a una persona
distinta del interesado.

En relacin con las cesiones, el artculo 11.1 de la Ley indica que Los datos de
carcter personal objeto del tratamiento slo podrn ser comunicados a un

tercero para el cumplimiento de fines directamente relacionados con las
funciones legtimas del cedente y del cesionario con el previo consentimiento
del interesado. No obstante, este consentimiento no ser preciso, segn el
artculo 11.2 a) cuando exista una norma con rango de Ley que otorgue
cobertura a la cesin planteada.
Si bien la consulta no se refiere a esta cuestin, podra plantearse si resulta
posible la comunicacin de los datos de los empleados de la subcontratista al
contratista principal con la finalidad de evitar las posibles responsabilidades
que pudieran derivarse del incumplimiento por el primero de sus obligaciones
en materia de Seguridad Social.
Sin embargo, la cuestin ha sido respondida negativamente por esta Agencia.
As, en informe de 21 de enero de 2007, se seala lo siguiente:
Conforme se ha venido indicando, y el informe confirma, el acceso por el

contratista a los datos referidos al cumplimiento por el contratista de sus
obligaciones en materia de seguridad social respecto a los trabajadores a los
que se refiere la subcontratacin ha de ser considerada una cesin o
comunicacin de los datos de dichos trabajadores, definida por el artculo 3 i)
Pgina 49 de 63

de la Ley Orgnica 15/1999 como Toda revelacin de datos realizada a una

persona distinta del interesado.
Respecto de las cesiones, prescribe el artculo 11.1 que Los datos de carcter
personal objeto del tratamiento slo podrn ser comunicados a un tercero para
el cumplimiento de fines directamente relacionados con las funciones legtimas
del cedente y del cesionario con el previo consentimiento del interesado. No
obstante, no sera preciso ese consentimiento cuando exista una norma con
rango de Ley habilitante de la cesin, conforme al artculo 11.2 a) de la Ley
Orgnica, as como cuando el tratamiento responda a la libre y legtima
aceptacin de una relacin jurdica cuyo desarrollo, cumplimiento y control

implique necesariamente la conexin de dicho tratamiento con ficheros de
terceros, tal y como establece el artculo 11.2 c) de la propia Ley Orgnica.
El artculo 42.1 del Estatuto de los Trabajadores, aprobado por Real Decreto
Legislativo 1/1995, de 24 de marzo, en la redaccin dada al mismo por la Ley
12/2001, de 9 julio, dispone que Los empresarios que contraten o subcontraten
con otros la realizacin de obras o servicios correspondientes a la propia

actividad de aqullos, debern comprobar que dichos contratistas estn al
corriente en el pago de las cuotas de la Seguridad Social. Al efecto, recabarn
por escrito, con identificacin de la empresa afectada, certificacin negativa por
descubiertos en la Tesorera General de la Seguridad Social, que deber librar
inexcusablemente dicha certificacin en el trmino de treinta das
improrrogables y en los trminos que reglamentariamente se establezcan.
Transcurrido este plazo, quedar exonerado de responsabilidad el empresario
solicitante.
Aade el artculo 42.2 del Estatuto que El empresario principal, salvo el
transcurso del plazo antes sealado respecto a la Seguridad Social, y durante

el ao siguiente a la terminacin de su encargo, responder solidariamente de
las obligaciones de naturaleza salarial contradas por los contratistas y
subcontratistas con sus trabajadores y de las referidas a la Seguridad Social
durante el perodo de vigencia de la contrata.
En consecuencia, el contratista habr de conocer, a travs de los certificados
previstos en el artculo 42.1 del Estatuto de los Trabajadores el cumplimiento
por parte del subcontratista de sus obligaciones en materia de seguridad social
Pgina 50 de 63

en relacin con los trabajadores subcontratados, dado que en caso contrario,

responder solidariamente con el citado subcontratista del cumplimiento de
dichas obligaciones.
De lo dispuesto en dichos preceptos se desprende que las empresas
contratistas quedarn exoneradas de la responsabilidad derivada del
incumplimiento por parte de la entidad subcontratista de sus obligaciones en
materia de Seguridad Social en caso de que hayan obtenido de la Tesorera
General de la Seguridad Social la certificacin a la que se refiere el artculo 42.1
o dicha certificacin no haya sido emitida en el plazo de treinta das legalmente
previsto.
El artculo 4.1 de la Ley Orgnica 15/1999 dispone que Los datos de carcter
personal slo se podrn recoger para su tratamiento, as como someterlos a

dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en
relacin con el mbito y las finalidades determinadas, explcitas y legtimas
para las que se hayan obtenido.
Como se ha indicado, la garanta de la indemnidad del contratista queda
garantizada mediante la obtencin de la certificacin citada, sin que sea
necesario que por el mismo sea preciso acceder a ninguna otra informacin
acerca de los trabajadores que prestan sus servicios a la empresa
subcontratista.
Adems, en el modelo descrito en la consulta parece hacerse referencia a la
cesin de la totalidad de la informacin contenida en los documentos TC2
presentados por el subcontratista.
Los citados documentos no se limitan nicamente a incluir una mera relacin
nominal de los trabajadores respecto de los cuales el empresario da
cumplimiento a su obligacin de abono de la correspondiente cuota, sino que
introducen diversas informaciones referentes a los citados trabajadores, tales
como su nmero de afiliacin, si se encuentran en una de las situaciones
especiales descritas en el Texto refundido de la Ley General de la Seguridad
Social, aprobado por Real Decreto Legislativo 1/1994, de 20 de junio, el tipo de
contrato celebrado o la concurrencia de circunstancias que determinan la
existencia de deducciones o compensaciones.
Pgina 51 de 63

Todo ello implica que dicho documento incluye datos que incluso pueden
encontrarse vinculados con la salud de los trabajadores, relacionados con su
salud laboral, incapacidades o minusvalas.
Respecto, en particular de estos datos el artculo 7.3 de la Ley Orgnica 15/1999
dispone que Los datos de carcter personal que hagan referencia al origen
racial, a la salud y a la vida sexual slo podrn ser recabados, tratados y

cedidos cuando, por razones de inters general, as lo disponga una Ley o el
afectado consienta expresamente.
La Agencia Espaola de Proteccin de Datos ha puesto reiteradamente de
manifiesto que la aplicacin del artculo 7.3 implica, por mor del principio de
especialidad, la imposible aplicacin a los datos referidos en el mismo de
cualquiera de las causas legitimadoras del tratamiento previstas en el artculo
11.2 de la Ley Orgnica, quedando limitados los supuestos habilitantes del
tratamiento y cesin de estos datos a los establecidos en la norma especial o a
aqullos en los que la norma general se refiere expresamente a tales datos
(como sucede en relacin con los datos de salud en el artculo 11.2 f) de la Ley
Orgnica 15/1999).
En este sentido, debe recordarse que la Agencia ha venido poniendo de
manifiesto el concepto amplio que ha de darse a la referencia a los datos de
salud a los que se refiere el artculo 7.3. Este criterio ha sido finalmente
reiterado por la Sentencia del Tribunal de Justicia de la Unin Europea, de 6 de
noviembre de 2003 (caso Lindqvist), segn la cual Es preciso dar una
interpretacin amplia de la expresin datos de salud, empleada por el artculo

8 apartado 1 (de la Directiva 95/46/CE), de modo que comprende la informacin
relativa a todos los aspectos tanto fsicos como psquicos de la salud de una
persona.
Por este motivo, una comunicacin de datos que pudieran encontrarse
relacionados con la salud de los trabajadores subcontratados, no slo sera
contraria al principio de proporcionalidad, sino adems implicara una cesin
que excedera de lo dispuesto en el artculo 7.3 de la Ley Orgnica, as como del
artculo 42 del Estatuto de los Trabajadores, que exime de responsabilidad al
contratista por la existencia de una certificacin negativa por descubiertos de la
empresa subcontratista, sin alcanzar a datos de la naturaleza de los descritos
en la consulta.
Pgina 52 de 63

El mencionado informe resulta de aplicacin al supuesto de hecho planteado

en la consulta, dado que en ningn caso se pueden comunicar ni los TC2 ni los
nminas, ni los partes mdicos, dado que en la informacin contenida en las
nminas, en el TC2 y en los partes mdicos aparecen datos especialmente
protegidos y el artculo 7.3 de la Ley Orgnica dispone que, para que la cesin
tenga lugar, es necesario o el consentimiento expreso del afectado o que una
Ley lo disponga. Ni el Estatuto de los Trabajadores ni la Ley de Prevencin de
Riesgos Laborales exige la comunicacin de dichos datos a la empresa
contratante.
Pgina 53 de 63

Informe 0582/2009.
electrnico
Uso
compartido
de
correo
La consulta plantea la legalidad de la circular remitida por la empresa, sobre

medidas a seguir y obligaciones en la utilizacin del sistema de informacin de
la empresa por los empleados segn la cual, cada trabajador debe compartir el
correo electrnico con otro compaero de trabajo o responsable del
departamento en los supuestos de ausencia, con el fin de adecuar los
procedimientos de actuacin internos a la normativa de seguridad en relacin
con lo dispuesto en la Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin
de Datos de Carcter Personal (en adelante LOPD), y a su Reglamento de
desarrollo, aprobado por el Real Decreto 1720/2007, de 21 de diciembre.
Segn se describe en la consulta, el sistema de trabajo indicado por la
empresa supone que, ante una ausencia del trabajador, ste debe hacerlo
constar en el programa informtico, que automticamente redirecciona el
correo electrnico de ste al otro compaero que debi sealar como sustituto
o al responsable del departamento.
Este sistema permitira el tratamiento de datos personales del trabajador
ausente por la empresa contenidos en su correo electrnico, datos que podran
incluir informaciones de tipo sindical y relativas a la actividad de los
representantes de los trabajadores, es decir, que dicho sistema podra
comportar el acceso de terceros a datos sensibles o especialmente protegidos.
La circular de la empresa que se adjunta parece contener la informacin al
personal de la misma sobre la poltica de la empresa en materia de proteccin
de datos y la seguridad en su utilizacin, destacando, en lo que a nuestro
informe se refiere, el recordatorio que recoge en el apartado 1) que dice:
Recordamos, igualmente, que el uso del correo electrnico debe realizarse, de

forma exclusiva, dentro del mbito de la actividad laboral dado que se trata de
una herramienta puesta por la empresa para tal fin.
Para determinar la licitud del tratamiento de datos de carcter personal de los
trabajadores por parte del empresario, es preciso atender a lo dispuesto en el
artculo 6 de la LOPD que exige el consentimiento inequvoco del afectado,
salvo que la Ley disponga otra cosa, o se de alguno de los supuestos
contemplados en su nmero 2, como sera en nuestro caso, en el que la
legitimidad del tratamiento deriva de la existencia de una relacin laboral entre
Pgina 54 de 63

las partes en la medida que el tratamiento de datos sea necesario para el

desenvolvimiento de dicha relacin jurdica.
En el mbito de la relacin jurdica laboral el artculo 20 del Estatuto de los
Trabajadores ha atribuido facultades especficas de direccin y control de la
actividad laboral a la empresa que posibilitan el control del desarrollo de la
prestacin laboral. El ejercicio de estas facultades comporta en muchas
ocasiones tratamientos de datos personales.
En su nmero 1 dice que El trabajador estar obligado a realizar el trabajo
convenido bajo la direccin del empresario o persona en quien delegue.

Y en su nmero 3 seala que El empresario podr adoptar las medidas que
estime ms oportunas de vigilancia y control para verificar el cumplimiento por

el trabajador de sus obligaciones y deberes laborales, guardando en su
adopcin y aplicacin la consideracin debida a su dignidad humana y teniendo
en cuenta la capacidad real de los trabajadores disminuidos, en su caso.
En la mayor parte de estos supuestos existen tratamientos de datos personales
y, en consecuencia, es necesario cumplir con los principios de proteccin de
datos.
La Agencia Espaola de Proteccin de Datos y la jurisprudencia de los
tribunales han venido indicando distintos supuestos en los que tales
tratamientos son admisibles y las condiciones para su realizacin.
Por otro lado, el uso de tecnologas de la informacin multiplica las
posibilidades de control empresarial y obliga a tener en cuenta el respeto a los
derechos fundamentales de los trabajadores, a adoptar medidas de control que
sean proporcionales y respeten su dignidad, su derecho a la proteccin de
datos y su vida privada.
Existe por tanto, un conjunto de principios cuyo respeto resulta recomendable
cuando no prcticamente ineludible.
La legitimacin para el tratamiento deriva de la existencia de la relacin laboral
y, por tanto, de acuerdo con el art. 6.2 LOPD, no se requiere del consentimiento.
Pgina 55 de 63

Debe existir una finalidad que, en este caso, no puede ser otra que la
establecida por el art. 20.3 ET de verificar el cumplimiento por el trabajador de
sus obligaciones y deberes laborales.

Debe cumplirse con el deber de informacin a los trabajadores. Este deber
resulta particularmente relevante cuando se trate de controles sobre el uso de
Internet y/o del correo electrnico.
En este caso es importante que la informacin a los trabajadores sea clara en
lo que respecta a la poltica de la empresa en cuanto a utilizacin del correo
electrnico e Internet, describiendo de forma pormenorizada en qu medida
los trabajadores pueden utilizar los sistemas de comunicacin de la empresa
con fines privados o personales. As como que incluya la finalidad de la
vigilancia, y cuando pueda repercutir sobre medios que el trabajador utiliza
normalmente, una informacin sobre las medidas de vigilancia adoptadas.
Por otra parte, en la medida en la que este tipo de controles inciden sobre el
conjunto de la empresa, puede ser muy recomendable informar tambin a los
representantes de los trabajadores de las polticas adoptadas en esta materia.
No se trata en absoluto de que el trabajador conozca el detalle de polticas de
seguridad que pueden afectar a mbitos que la empresa necesita proteger. Sin
embargo, es indispensable que conozca por ejemplo si puede recibir mensajes
privados, o depositar fotografas en determinados espacios en su ordenador o
en un servidor corporativo.
La informacin previa y su prueba es esencial, ya que estos tratamientos no
requieren el consentimiento del trabajador y son manifestacin de los poderes
de control del empresario.
La Sentencia del Tribunal Supremo de 26/09/2007 viene a resolver del siguiente
modo la aplicacin del artculo 20 del ET, cules son los lmites y el alcance de
ese poder de control del empresario en relacin con el respeto al derecho
fundamental a la intimidad personal de los trabajadores del artculo 18 de la
Constitucin Espaola, sealando:
es necesario recordar lo que ya se dijo sobre la existencia de un hbito social

generalizado de tolerancia con ciertos usos personales moderados de los
medios informticos y de comunicacin facilitados por la empresa a los
trabajadores.
Pgina 56 de 63

En conclusin, podemos sealar que el artculo 20. 3 del Estatuto de los

Trabajadores habilita al empresario a controlar el correo electrnico que l
otorga a sus trabajadores para el desarrollo exclusivo de sus funciones, pero
siempre que previamente haya informado sobre dicho extremo y cumpla con el
deber de informacin previsto en el artculo 5.1 de la LOPD.
Pgina 57 de 63

Informe 0285/2010.
panormicas
Uso
de
cmaras
con
vistas
La consulta plantea si la instalacin de una webcam, que permita tener una

visin panormica del trmino municipal, queda sometida a la Ley Orgnica
15/1999, de 13 de diciembre, de Proteccin de datos de Carcter Personal.
Como cuestin previa, debe recordarse que el artculo 2.1, prrafo primero de
la Ley Orgnica 15/1999 de 13 de diciembre, de Proteccin de Datos de Carcter
Personal, dispone que la presente Ley Orgnica ser de aplicacin a los datos
de carcter personal registrados en soporte fsico que los haga susceptibles de

tratamiento, y a toda modalidad de uso posterior de estos datos por los
sectores pblico y privado, siendo datos de carcter personal, conforme al
artculo 3 a) Cualquier informacin concerniente a personas fsicas
identificadas o identificables.
Si segn se desprende del contenido de la consulta, la webcam instalada va a
permitir captar las imgenes de personas fsicas que puedan identificarse, al
ser la imagen de una persona, un dato personal, s quedaran sometidas a la
Ley Orgnica 15/1999 y a la Instruccin 1/2006 de 8 de noviembre de 2006, de la
Agencia Espaola de Proteccin de Datos, sobre el tratamiento de datos
personales con fines de vigilancia a travs de sistemas de cmaras o
videocmaras.
En este sentido es preciso sealar que la Agencia Espaola de Proteccin de
Datos, no es el organismo competente para autorizar la instalacin de ninguna
cmara. La Agencia vela por la proteccin de la imagen como dato personal,
exigiendo el cumplimiento de la Ley Orgnica 15/1999 y la Instruccin 1/2006 de
8 de noviembre de 2006, de la Agencia Espaola de Proteccin de Datos, sobre
el tratamiento de datos personales con fines de vigilancia a travs de sistemas
de cmaras o videocmaras.
La Agencia Espaola de Proteccin de Datos, ha establecido unas
Recomendaciones derivadas del Plan Sectorial de Oficio sobre videocmaras
en Internet que se encuentran disponible en la pgina web.
En estas recomendaciones se observan las pautas necesarias que debe
adoptar el Ayuntamiento consultante para que la instalacin de la webcam se
ajuste a los principios que rigen la aplicacin de la Ley Orgnica 15/1999, en
Pgina 58 de 63

concreto reproducimos dos observaciones que pueden resultar aplicables al

supuesto planteado en la consulta; La captacin de imgenes de paisajes o
panormicas, en la medida en que no permitan identificar a las personas cuya

imagen pueda ser captada quedara fuera del mbito de aplicacin de la
normativa de proteccin de datos y no existira transgresin de ninguno de los
principios aludidos por lo que, sin perjuicio de otra normativa que pudiera ser
de aplicacin en cada caso concreto, no habra ninguna limitacin y dicha
difusin podra realizarse en abierto, es decir, sin necesidad de activar ningn
tipo de control de acceso a las imgenes captadas por la cmara.
La captacin de imgenes de la va pblica de personas identificadas o
identificables y fuera de un mbito estrictamente privado o domstico se
encuentra reservada, con carcter exclusivo, a las Fuerzas y Cuerpos de
Seguridad del Estado con fines de videovigilancia, en consonancia con lo
establecido en la Ley Orgnica 4/1997. Resulta por lo tanto contrario a la
normativa de proteccin de datos, salvo la excepcin citada, la captacin y
difusin de imgenes de la va pblica en las que pueda identificarse a las
personas. La captacin y difusin de imgenes de este tipo a travs de Internet
excedera con mucho el mbito privado o domstico por lo que se producira
una vulneracin del principio de legitimacin.
Pgina 59 de 63

Informe 0195/2005. Tratamiento de datos personales

por el Comit de Empresa
La consulta plantea dudas en relacin con la aplicacin de la Ley Orgnica
15/1999, de 13 de diciembre, de Proteccin de datos de Carcter Personal, al
tratamiento de datos de carcter personal que se realiza en el Comit de
Empresa, y concretamente, si procede la inscripcin de ficheros.
El Estatuto de los Trabajadores atribuye un amplio haz de facultades a los
representantes sindicales y en particular al Comit de Empresa. En algunos
casos el ejercicio de estas facultades puede comportar el acceso a datos.
No obstante este acceso potencial a datos personales debe estar regido por el
cumplimiento estricto de los principios de proteccin de datos.
nicamente podrn cederse datos en aquellos casos en los que resulte

estrictamente necesario para el cumplimiento de los deberes que el
Estatuto de los Trabajadores establece para la empresa.
Los destinatarios de la informacin sern los previstos por la norma que

habiliten para la cesin.
El Comit de Empresa o los representantes sindicales que acceden a

informacin de los trabajadores estn obligados a guardar secreto y al
cumplimiento de los principios de la LOPD y de los especficamente
previstos en las normas que les sean de aplicacin.
Los miembros del Comit de Empresa y ste en su conjunto, as como, en su

caso, los expertos que les asistan, debern observar el deber de sigilo con
respecto a aquella informacin que, en legtimo y objetivo inters de la
empresa o del centro de trabajo, les haya sido expresamente comunicada con
carcter reservado.
En todo caso, ningn tipo de documento entregado por la empresa al Comit
podr ser utilizado fuera del estricto mbito de aqulla ni para fines distintos
de los que motivaron su entrega. El deber de sigilo subsistir incluso tras la
expiracin de su mandato e independientemente del lugar en que se
encuentren.
La cesin de datos ms comn a las organizaciones sindicales es la relativa al
cobro de la cuota sindical en el pago de la nmina. Puesto que se trata de una
Pgina 60 de 63

solicitud que debe realizar el propio trabajador, deben darse las condiciones
del art. 7.2 LOPD.
Slo con el consentimiento expreso y por escrito del afectado podrn ser objeto
de tratamiento los datos de carcter personal que revelen la ideologa,
afiliacin sindical, religin y creencias. Se exceptan los ficheros mantenidos
por los partidos polticos, sindicatos, iglesias, confesiones o comunidades
religiosas y asociaciones, fundaciones y otras entidades sin nimo de lucro,
cuya finalidad sea poltica, filosfica, religiosa o sindical, en cuanto a los datos
relativos a sus asociados o miembros, sin perjuicio de que la cesin de dichos
datos precisar siempre el previo consentimiento del afectado.
El tratamiento de estos datos requiere la adopcin de procedimientos por parte
de la organizacin ya que se trata de proteger informacin particularmente
sensible.
Es
recomendable
disponer
de
procedimientos
de
captacin
del
consentimiento como impresos o modelos de solicitud en los que el

trabajador autorice de modo expreso y por escrito el tratamiento.
Es muy importante limitar el uso de estos datos a la finalidad para la que se

han recabado: cobrar la cuota y transferir las cantidades a la organizacin
sindical.
Debe recordarse que, si el tratamiento se da exactamente en los trminos y

para las finalidades aqu descritas, el nivel de seguridad ser bsico.
En segundo lugar, hay que referirse al envo de informacin sindical a travs

del correo electrnico. Esta actividad requiere el tratamiento de datos
personales puesto que, como en reiteradas ocasiones se ha sealado una
direccin electrnica es un dato personal.
El Tribunal Constitucional ha sealado que el envo de este tipo de mensajes de
correo electrnico constituye un derecho de los sindicatos amparado por el
derecho fundamental a la libertad sindical. No obstante deben darse ciertas
condiciones como que la empresa disponga del servicio de correo electrnico,
que los envos se realicen de modo proporcional y no perjudique el normal
funcionamiento de la organizacin.
Pgina 61 de 63

Cuando se den las circunstancias anteriores, existir legitimacin para que se

produzca una cesin de datos personales a los sindicatos. Sin embargo deben
tenerse en cuenta las siguientes consideraciones:
Existen procedimientos automatizados que pueden permitir la satisfaccin

del derecho a la libertad sindical sin necesidad de realizar una cesin y, por
tanto, minimizando los riesgos y las obligaciones de cumplimiento
normativo para el empresario y el sindicato.
La comunicacin de datos se limitar a los estrictamente necesarios.
El dato se utilizar estrictamente para la finalidad para la que fue cedido.
El sindicato, como cesionario, est obligado a cumplir con las previsiones

de la LOPD.
El sindicato debe satisfacer el derecho de oposicin de los trabadores salvo

en el supuesto de elecciones sindicales, momento en el cual prevalece la
libertad sindical respecto del derecho a la proteccin de datos.
A tenor de las previsiones contenidas en la LOPD acerca del derecho de

oposicin, debe reconocerse el derecho de los trabajadores a mostrar su
oposicin a la recepcin de mensajes con contenido sindical y, por
consiguiente, la obligacin de los Sindicatos de cesar en el tratamiento de los
datos de los solicitantes. No obstante, en lo referente a la informacin sindical
remitida a los trabajadores en perodo electoral, debe concluirse que en
periodo electoral debe prevaler el derecho a la actividad sindical consagrado en
el artculo 2.1 de la Ley Orgnica de Libertad Sindical sobre el derecho
fundamental a la proteccin de datos. No debe olvidarse que la celebracin de
elecciones sindicales legitima las cesiones de los datos censales necesarios
para permitir al sindicato remitir informacin electoral y participar en el
proceso electoral.
Ello no obstante, debe recordarse que, en virtud de lo establecido en el artculo
4.2 de la Ley Orgnica 15/1999, no podrn utilizarse los datos para finalidades
distintas de las que motivaron su recogida, en este caso, el correcto
desenvolvimiento de la relacin laboral y por tanto, deber limitarse a la
finalidad de control que el propio Estatuto (artculo 64) atribuye al Comit de
Empresa.
A su vez, el artculo 10 de la Ley Orgnica impone un deber de secreto a
cualquiera de los miembros que componen el Comit de Empresa que habra
Pgina 62 de 63

de aadirse al que les correspondiera por razn de su actividad en la empresa,

indicando que el responsable del fichero y quienes intervengan en cualquier
fase del tratamiento de los datos de carcter personal estn obligados al
secreto profesional respecto de los mismos y al deber de guardarlos,
obligaciones que subsistirn aun despus de finalizar sus relaciones con el
titular del fichero o, en su caso, con el responsable del mismo.
Pgina 63 de 63

Gestión de datos y derechos LOPD

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Gestión de datos y derechos LOPD

Загружено:

Авторское право:

Доступные форматы

Gestin de la seguridad de la informacin por el empleado

Mdulo 8 Casos reales

Gestin de la seguridad de la informacin por el empleado

Informe Jurdico 0323/2007. Legitimacin para el

CONVERSIA 2015 | Derechos reservados.

Gestin de la seguridad de la informacin por el empleado

necesario para el adecuado desenvolvimiento de la relacin laboral de los

la instalacin de cmaras y videocmaras deber respetar en todo caso los

CONVERSIA 2015 | Derechos reservados.

Gestin de la seguridad de la informacin por el empleado

Si bien toda revelacin de datos a cualquier persona distinta del interesado se

policiales de datos de carcter personal por las Fuerzas y Cuerpos de

Que quede debidamente acreditado que la obtencin de los datos resulta

Que se trate de una peticin concreta y especfica, al no ser compatible con

Que la peticin se efecte con la debida motivacin, que acredite su relacin

Las Fuerzas y Cuerpos de Seguridad del Estado dependientes del Gobierno

Los Cuerpos de Polica dependientes de las Comunidades Autnomas

Los Cuerpos de Polica dependientes de las Corporaciones Municipales

CONVERSIA 2015 | Derechos reservados.

Gestin de la seguridad de la informacin por el empleado

En consecuencia, a la Guardia Civil y a quienes integren las Fuerzas y Cuerpos

Vista la reclamacin formulada el 7 de febrero de 2011 ante esta Agencia por D

CONVERSIA 2015 | Derechos reservados.

Gestin de la seguridad de la informacin por el empleado

Las actuaciones contrarias a lo dispuesto en la presente Ley pueden ser

1. El responsable del tratamiento tendr la obligacin de hacer efectivo el

8. Cuando las leyes aplicables a determinados ficheros concretos establezcan

CONVERSIA 2015 | Derechos reservados.

Gestin de la seguridad de la informacin por el empleado

La AEAT y la entidad denominada por la reclamante como Catastro, que, en

La presentacin de la solicitud de la reclamante ante la AEAT dirigido a la

No obstante, el hecho de que dicha solicitud fuese registrada por la AEAT

CONVERSIA 2015 | Derechos reservados.

Gestin de la seguridad de la informacin por el empleado

Procedimiento N PS/00365/2005. No inscripcin de

BALANCE) recaba datos de carcter personal a travs del sitio Web

inscripcin del fichero de datos de carcter personal en el Registro General de

CONVERSIA 2015 | Derechos reservados.

Gestin de la seguridad de la informacin por el empleado

1. IMPONER a la entidad ASESORA BALANCE, S.L., por una infraccin del

CONVERSIA 2015 | Derechos reservados.

Gestin de la seguridad de la informacin por el empleado

Informe 0227/2010. Empresas dedicadas a la gestin

administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.

privada, u rgano administrativo que, solo o conjuntamente con otros, trate

CONVERSIA 2015 | Derechos reservados.

Gestin de la seguridad de la informacin por el empleado

Carcter Personal, establece que no se considerar comunicacin de datos el

realizacin de tratamientos por cuenta de terceros deber estar regulada en un

CONVERSIA 2015 | Derechos reservados.

Gestin de la seguridad de la informacin por el empleado

carcter personal debern ser destruidos o devueltos al responsable del

CONVERSIA 2015 | Derechos reservados.

Gestin de la seguridad de la informacin por el empleado

Informe 0214/2010. Publicacin de datos personales en Boletines Oficiales

practicarn por cualquier medio que permita tener constancia de la recepcin

supriman los datos que resulten ser inadecuados o excesivos. En

preciso el consentimiento cuando los datos figuren en fuentes accesibles al

CONVERSIA 2015 | Derechos reservados.

Gestin de la seguridad de la informacin por el empleado

derechos y libertades fundamentales del interesado. As, el tratamiento

consentimiento del afectado para el tratamiento de los datos de carcter

CONVERSIA 2015 | Derechos reservados.