Página principal



Preguntas frecuentes

Descargar 52.25 Kb.

Preguntas frecuentes





Descargar 52.25 Kb.
Fecha de conversión09.08.2017
Tamaño52.25 Kb.

CUESTIONES RELATIVAS A LA NORMATIVA ESPAÑOLA EN MATERIA DE PROTECCIÓN DE DATOS EN EL ÁMBITO DE LAS CLÍNICAS VETERINARIAS



  1. PREGUNTAS FRECUENTES


  1. ¿Qué son datos de carácter personal?

Según la Ley Orgánica de Protección de Datos, cualquier información concerniente a personas físicas identificadas o identificables”. Hablamos de aspectos tales como nombre, apellidos, teléfonos, dirección, fotografías, D.N.I., numeración de tarjetas de crédito, y en definitiva, cualquier otro dato con aptitud para identificar a una persona física.


  1. ¿Deben las clínicas veterinarias cumplir con la legislación sobre protección de datos?

Sí, dado que el ámbito de aplicación de la norma se extiende a toda persona, física o jurídica, que en su proceder recabe datos de carácter personal registrados en soporte físico que les haga susceptibles de tratamiento y a toda modalidad de uso posterior.


  1. ¿Es de aplicación esta normativa a los datos referentes a los animales?

No, al no tratarse de datos atinentes a personas físicas. Sin embargo, si estamos ante un documento en el que, junto a las características del animal, figuran otros datos concernientes a su dueño, estos últimos tendrían igualmente carácter de “datos de carácter personal”.


  1. ¿Qué es un fichero?

La Ley lo define como “todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso”. En función del soporte empleado para su almacenamiento se distinguirán en automatizados (pendrive, CD/DVD, discos duros) y no automatizados (contratos, facturas, fichas de clientes en formato papel). Tal diferenciación cobra importancia en orden a las diversas medidas de protección aplicables.

En la práctica, es frecuente encontrar diversos ficheros que dividan la información relativa a CLIENTES, PROVEEDORES, PERSONAL, PROCESOS DE SELECCIÓN, USUARIOS WEB, etc..


  1. ¿Qué es el “tratamiento” de datos personales?

Se entiende por “tratamiento de datos personales” a los efectos de la normativa que nos ocupa, cualquier acción que permita la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como cualquier cesión de datos que resulte de comunicaciones, consultas, interconexiones y transferencias.


  1. ¿Quién es el “responsable del fichero o el tratamiento”?

La Ley Orgánica atribuye esta condición a toda persona, física o jurídica, que decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realice materialmente.

Desde el punto de vista jurídico, es aconsejable que si se trata de una clínica sometida a algún tipo de forma societaria limitativa de responsabilidad, sea ésta quien asuma dicha titularidad con objeto de limitar la cuantía de las sanciones que pudieren imponerse al patrimonio de la mercantil, evitando que trascienda al patrimonio personal de los socios o al de alguno de sus empleados.


  1. ¿Quién es el encargado del “tratamiento”?

Según el artículo 3 de la norma examinada, aquella persona física o jurídica (u organismo público), que trate datos personales por cuenta del responsable del tratamiento.

A los efectos de las obligaciones que pasarán a desglosarse a continuación, el acceso de este tercero a los datos no tendrá la consideración de “comunicación”, siempre que dicho acceso sea necesario para la prestación de un servicio para el encargado del fichero o tratamiento, y que la relación jurídica sea plasmada por escrito, debiendo incluirse en el contrato suscrito los extremos a los que hace referencia el apartado 2 del artículo 12 de la Ley Orgánica de Protección de Datos.

Un ejemplo de esta figura referido al ámbito que nos ocupa, podría ser el responsable del mantenimiento informático, así como la gestoría laboral o el asesor fiscal de la clínica.


  1. OBLIGACIONES ATRIBUIDAS POR LA LEGISLACIÓN


  1. DEBER DE INSCRIPCIÓN DE FICHEROS


Todos los ficheros en los que obren datos de carácter personal deben ser convenientemente inscritos, de forma previa a su creación, en el Registro dependiente de la Agencia Española de Protección de Datos, así como cualquier modificación que afecte al contenido de la inscripción o su eventual cancelación.

Para facilitar dichas actuaciones, la Agencia ha puesto a disposición de los responsables de los ficheros, a través de su página web (http://www.agpd.es), un formulario de notificaciones telemáticas denominado NOTA, que permite agilizar notablemente la tramitación de las exigencias referidas, pudiendo éstas ser realizadas total o parcialmente (en función de si se está o no en posesión de un certificado de firma digital) a través de Internet.


  1. DEBERES RELACIONADOS CON EL PRINCIPIO DE CALIDAD


Bajo este principio citado en el artículo 4 de la LOPD, se engloban las siguientes obligaciones:


  1. Los datos de carácter personal sólo podrán ser recogidos y utilizados cuando sean adecuados, pertinentes y no excesivos con relación a los fines para los que se hubiesen obtenido

  2. Los datos de carácter personal no podrán ser empleados para finalidades incompatibles con aquellas para las que se hubiesen recabado inicialmente

  3. Los datos deben estar actualizados. En caso de constatar su inexactitud, se procederá a su sustitución.

  4. Los datos de carácter personal deberán ser cancelados cuando hayan dejado de ser necesarios o pertinentes con los fines para los que fueron recogidos. Por otro lado, no deben ser mantenidos más tiempo de lo estrictamente necesario, si bien hay que tener en cuenta que determinadas disposiciones sectoriales obligan a mantener ciertos datos durante un período mínimo de tiempo, citando a modo de ejemplo, el deber de conservar las facturas, impuesto por la normativa fiscal, durante un período mínimo de cuatro años, o la obligación establecida por la legislación laboral de conservar información relativa a los empleados incluso después de finalizada la relación de trabajo


En relación con lo anterior, recordamos que las clínicas veterinarias tienen la obligación de archivar los protocolos clínicos y los elementos materiales de diagnóstico durante un plazo mínimo de tres años desde la última anotación en la historia clínica del paciente, según establece el artículo 20.2 del Código Deontológico para el ejercicio de la Profesión Veterinaria.



  1. DEBER DE INFORMACIÓN


Este deber, impuesto al responsable del fichero, consiste en informar a los afectados, en el momento de la recogida de sus datos personales, sobre los siguientes extremos:


  1. De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información

  2. De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición

  3. De la identidad y dirección del responsable del fichero

  4. Del carácter obligatorio o facultativo de su respuesta a las preguntas planteadas, así como de las consecuencias de su obtención o de la negativa a suministrar los datos.


Estas advertencias deberán figurar en los cuestionarios o documentos empleados por la clínica para la recogida de datos, motivo por el cual es frecuente encontrar en facturas, contratos o formularios, cláusulas como la siguiente:


Sus datos están incluidos en un fichero responsabilidad de [RAZÓN SOCIAL DE LA CLÍNICA], con domicilio en: [DOMICILIO SOCIAL], con la finalidad de gestionar la relación comercial. Podrá ejercer sus derechos de acceso, rectificación, cancelación y oposición a través de comunicación escrita a la dirección indicada aportando fotocopia de su DNI o documento equivalente y concretando su solicitud”.


Tal y como continúa exponiendo la norma estudiada, en el caso de que los datos personales no hayan sido recabados directamente del afectado, éste deberá ser informado expresamente por el responsable del fichero en el plazo máximo de tres meses desde su registro.


  1. DEBER DE OBTENER CONSENTIMIENTO


Estrechamente vinculado al deber anterior, el artículo 6 establece la obligación de obtener el consentimiento inequívoco del afectado. No obstante, se prevé la posibilidad de prescindir de dicho consentimiento en los siguientes supuestos:


  1. Cuando se recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias

  2. Cuando una ley así lo disponga expresamente.

  3. Cuando los datos personales se refieran a las partes de algún tipo de relación contractual y sean necesarios para su mantenimiento o cumplimiento, aclarando sin embargo que esta exención no se extiende a la obligación anterior, subsistiendo por tanto el deber de informar al afectado igualmente.

  4. Cuando se trate de datos de salud necesarios para proteger el interés vital del interesado.

  5. Los datos que hayan sido obtenidos de fuentes accesibles al público, entendiendo como tales las descritas en el artículo 7 del R.D. 1720/2007, entre las que se destacan: las guías de servicios y grupos profesionales, los diarios y boletines oficiales o los medios de comunicación social, debiendo cumplir en cualquiera de los casos el requisito de que puedan ser consultados por cualquier persona.


El consentimiento prestado podrá ser revocado por el interesado siempre que concurra causa justa, aunque no tendrá efectos retroactivos.

En los supuestos en los que no sea necesario el consentimiento, el afectado podrá oponerse al tratamiento de sus datos personales, siempre que medie causa justificada y una ley no disponga lo contrario.


  1. DEBER DE SECRETO


Tanto el responsable del fichero, como aquellos otros que intervengan en cualquier fase del tratamiento de datos de carácter personal, estarán obligados a guardar secreto sobre los mismos, obligación que subsistirá aún finalizadas las relaciones del personal con el responsable del fichero.



  1. COMUNICACIÓN DE DATOS


A tenor de lo dispuesto en la normativa vigente, la comunicación de datos a terceros requiere para su licitud de dos requisitos, en primer lugar, que responda al cumplimiento de fines legítimos directamente relacionados con las actividades legítimas del cedente (la clínica veterinaria) y el cesionario (tercero receptor), y en segundo lugar, el previo consentimiento del afectado.

Dicho consentimiento, será prescindible en los siguientes supuestos:


  1. Cuando la cesión sea autorizada por la Ley

  2. Cuando se trate de datos recogidos de fuentes accesibles al público (en los términos anteriormente descritos)

  3. Cuando la cesión de los datos personales responda a una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros, siempre que la comunicación se limite a la finalidad que la justifique

  4. Cuando la cesión tenga por destinatario a Jueces, Tribunales u órganos análogos

  5. Cuando se produzca entre Administraciones Públicas

  6. Cuando sea necesario para la realización de estudios epidemiológicos en los términos previstos legislativamente


En cualquier caso, el consentimiento tendrá carácter revocable, y se considerará nulo cuando no se le haya permitido conocer al afectado la finalidad a que se destinarán sus datos o el tipo de actividad de aquel a quien se pretendan comunicar.


  1. NIVELES DE SEGURIDAD Y MEDIDAS TÉCNICAS


Este aspecto aparece minuciosamente detallado en el Título VIII del Real Decreto 1720/2007.

La disposición reglamentaria establece, en primer lugar, la obligación del responsable del fichero o tratamiento de elaborar un “documento de seguridad” en el que consten las medidas de índole organizativa y técnica empleadas para garantizar la seguridad de los datos de carácter personal y que será de obligado cumplimiento para el personal con acceso a los sistemas de información. A estos efectos, la página Web de la AEPD pone también a disposición de los responsables un modelo de documento.

Estos protocolos podrán ser plasmados en un único documento, o bien en varios agrupados por tipos de ficheros o tratamientos según el sistema empleado para su organización.

Cuando exista un tratamiento de datos por cuenta de terceros, el documento de seguridad deberá reflejar tal circunstancia, detallando los ficheros objeto de tratamiento, la identificación del responsable de los mismos y la concreta mención al contrato que regule el encargo, así como su período de vigencia.

El contenido mínimo de dicho documento aparece desglosado en los apartados 3 y 4 del artículo 88 del Real Decreto anteriormente mencionado, y deberá encontrarse siempre actualizado y adaptado a la normativa vigente.

Centrándonos en el concreto ámbito de las medidas de seguridad exigidas, observamos que la normativa las agrupa en tres niveles (básico, medio y alto) en atención a la mayor o menor sensibilidad de los datos personales recabados.

En la actividad habitual de una clínica veterinaria, los datos recogidos no revestirán una especial entidad, por lo que en la inmensa mayoría de los casos quedarán circunscritos a las medidas propias del nivel de seguridad básico, que se implementarán ante datos como: nombres y apellidos, números de teléfono, fotografías, números de tarjetas de crédito, currículums, firmas, D.N.I, etc

No obstante, es importante tener en cuenta que los protocolos de seguridad son cumulativos, es decir que cuando corresponda aplicar medidas de seguridad de nivel “medio”, se adoptarán siempre sumadas a las de nivel “básico”.

Los protocolos de nivel básico figuran reflejados en los artículos 89 a 94 y 105 a 108 del Real Decreto objeto de análisis, dependiendo de si nos encontramos ante ficheros automatizados o no automatizados.




  1. DERECHOS DE LOS AFECTADOS


Las disposiciones normativas que hemos venido analizando, contemplan, bajo el epígrafe “Derechos de los afectados”, la posibilidad de que estos puedan ejercitar directamente ante al responsable del fichero o tratamiento los derechos de acceso, rectificación, cancelación y oposición (ARCO) ya sea personalmente, o bien a través de su representante debidamente acreditado.


  1. Acceso: El interesado tendrá derecho a conocer si sus datos de carácter personal están siendo objeto de tratamiento, la finalidad del tratamiento que en su caso se esté realizando, así como la información acerca del origen de los mismos y de las comunicaciones realizadas o previstas. El responsable tendrá un plazo de diez días hábiles a contar desde la fecha de recepción de la solicitud para estimar su procedencia, contando desde entonces con un mes para hacer efectiva la entrega de la información solicitada.

El afectado sólo tendrá derecho a un acceso cada 12 meses, salvo que acredite la concurrencia de un interés legítimo.


  1. Rectificación: El responsable del fichero o tratamiento tendrá la obligación de hacer efectiva la rectificación de los datos inexactos o incompletos instada por el interesado en un plazo máximo de 10 días hábiles desde la recepción de la comunicación. Si los datos objeto de rectificación hubiesen sido previamente cedidos, el responsable del fichero deberá comunicar la rectificación efectuada al cesionario, en idéntico plazo.


  1. Cancelación: El ejercicio de este derecho comporta la posibilidad de que sean suprimidos los datos que resulten ser inadecuados o excesivos. En el mismo plazo que en el supuesto anterior (diez días hábiles desde la recepción de la comunicación), el responsable del fichero o tratamiento deberá proceder a su eliminación, sin perjuicio del “deber de bloqueo” (Conservación de los datos a los únicos efectos de ser puestos a disposición de las Administraciones Públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento y sólo durante el plazo de prescripción de las mismas).

Podrá denegarse la cancelación cuando no se ajuste a los períodos de conservación establecidos en otras disposiciones legales, así como en el contrato existente entre el responsable del tratamiento y el interesado, y que motivó la recogida de los datos (Ejemplo: Solicitud de cancelación de datos instada por un cliente mientras la relación comercial sigue activa).

Al igual que en el supuesto anterior, el responsable del fichero o tratamiento tendrá un plazo de diez días hábiles para comunicar a los terceros a quienes hubiese cedido los datos del interesado, el ejercicio de su derecho de cancelación.


  1. Oposición: El interesado, podrá ejercitar el derecho a oponerse al tratamiento de sus datos, o bien instar el cese del mismo en los siguientes supuestos:


  1. Cuando no sea necesario su consentimiento, pero concurra un motivo legítimo y fundado referido a su situación personal.

  2. Cuando se trate de ficheros que tengan como finalidad la realización de labores de publicidad o prospección comercial

  3. Cuando el tratamiento tenga por finalidad la adopción de una decisión referida al afectado y basada únicamente en un tratamiento automatizado de sus datos de carácter personal


El responsable del tratamiento contará de nuevo con diez días hábiles para responder, ya sea excluyendo de tratamiento los datos objeto de oposición, o denegando la solicitud motivadamente.


En lo que respecta a la rectificación, cancelación y oposición, el encargado del fichero deberá ponerse en contacto con el interesado para informarle de su solicitud en el plazo de diez días hábiles referido, siempre a través de algún medio que acredite el envío de la comunicación.

Las clínicas deberán prever mecanismos gratuitos para el ejercicio de los derechos mencionados, de tal manera que no suponga ningún coste adicional para el interesado.


  1. UN CASO ESPECIAL: LA VIDEOVIGILANCIA


Los sistemas de video-vigilancia, cada vez más frecuentes en todo tipo de establecimientos mercantiles, son por definición instrumentos aptos para la recopilación de datos de carácter personal, y por ello, objeto de aplicación de la normativa que venimos enunciando. Sin embargo, su particular configuración los ha hecho merecedores de varias previsiones específicas, recogidas en la Instrucción de la Agencia Española de Protección de Datos 1/2006.

En primer lugar, las cámaras deberán estar ubicadas en lugares en los que la vigilancia no pueda obtenerse por otros medios menos intrusivos para la intimidad de las personas, y no podrán captar imágenes de espacios públicos, salvo que resulte absolutamente imprescindible o no pueda impedirse por razón de su ubicación, en cuyo caso deberán abarcar el mínimo indispensable.

Respecto al deber de información, se establecen dos particularidades. Por un lado, la obligación de tener a disposición de los interesados un impreso en el que se detalle la información a la que hacíamos referencia en el primer párrafo del apartado “deber de información”, y por otro, la exigencia de colocar en las zonas video-vigiladas un distintivo en un lugar suficientemente visible en el que figuren la razón y el domicilio social del responsable del tratamiento, facilitando la propia Agencia de Protección de Datos un modelo a través de su página Web.

Las grabaciones realizadas por las cámaras podrán conservarse durante el máximo de un mes, advirtiendo en cualquier caso que la mera visualización de las imágenes, sin posterior grabación en soporte físico, es considerada “tratamiento de datos personales”, y por tanto queda subordinada a la reglamentación precedente.


  1. LAS INFRACCIONES Y EL RÉGIMEN SANCIONADOR


Las infracciones podrán calificarse como leves, graves y muy graves, y la responsabilidad dimanante recaerá sobre el responsable del fichero o el encargado del tratamiento.


Son infracciones leves:


  1. No atender la solicitud del interesado de rectificación o cancelación de los datos personales objeto de tratamiento cuando legalmente proceda.

  2. No proporcionar la información que solicite la AEPD en el ejercicio de sus competencias.

  3. No solicitar la inscripción del fichero de datos de carácter personal en el Registro General de Protección de Datos, cuando no sea grave.

  4. Proceder a la recogida de datos de carácter personal de los propios afectados sin cumplir con el deber de información.

  5. Incumplir el deber de secreto, salvo que constituya infracción grave.





Son infracciones graves:



  1. Recabar datos sin consentimiento expreso de las personas, en los casos en que éste sea exigible.

  2. El impedimento de los derechos de acceso y oposición y la negativa a facilitar la información solicitada.

  3. Mantener datos de carácter personal inexactos o no efectuar las rectificaciones o cancelaciones.

  4. La vulneración del deber de guardar secreto sobre datos de nivel medio.

  5. Incumplir las medidas de seguridad.

  6. No remitir a la AEPD las informaciones que sean requeridas.

  7. La obstrucción al ejercicio de la función inspectora.

  8. No inscribir el fichero, cuando haya sido requerido por el Director de la AEPD.

  9. Incumplir el deber de información cuando los datos hayan sido recabados de persona distinta del afectado.

  10. Crear ficheros públicos sin disposición publicada en Boletín Oficial.



Son infracciones muy graves:


  1. La recogida de datos en forma engañosa y fraudulenta.

  2. La comunicación o cesión de los datos de carácter personal sin habilitación legal o consentimiento.

  3. Recabar y tratar los datos especialmente protegidos sin el consentimiento debido o habilitación legal.

  4. No cesar en el uso ilegítimo de los tratamientos de datos cuando sea requerido por el Director de la AEPD o por las personas titulares del derecho de acceso.

  5. La transferencia internacional a países que no proporcionen un nivel de protección equiparable sin autorización del Director de la AEPD.

  6. La vulneración del deber de guardar secreto sobre los datos especialmente protegidos.

  7. No atender, u obstaculizar de forma sistemática el ejercicio de los derechos ARCO.

  8. No atender de forma sistemática el deber legal de notificación de ficheros a la AEPD.


Las sanciones aplicables, oscilarán:


  • LEVES: Multa de 900 a 40.000


  • GRAVES: Multa de 40.001 a 300.000


  • MUY GRAVES: Multa de 300.001 a 600.000


A su vez, el amplio margen de discrecionalidad apreciable dentro de cada categoría, será acotado en base a una serie de criterios de carácter graduador, como son el volumen de negocios del infractor, el carácter continuado de la infracción, el grado de intencionalidad y la reincidencia, entre otros.

Ante una infracción tipificada como leve o grave, la AEPD puede, en atención a la existencia de circunstancias atenuantes de la responsabilidad, sustituir la sanción económica por un apercibimiento.

Por último, las infracciones leves, graves y muy graves, prescribirán en uno, dos y tres años, respectivamente.












Similar:

Preguntas frecuentes iconPreguntas frecuentes sobre pagos electrónicos
En este documento, usted encontrará una sección de preguntas y respuestas que le ayudará a sus usuarios a
Preguntas frecuentes iconMicrosoft Word aemps preguntas y Respuestas 1 doc
Aemps preguntas y Respuestas Frecuentes registro de Medicamentos de Uso Humano en formato electrónico V 0
Preguntas frecuentes iconPreguntas frecuentes sobre prestaciones

Preguntas frecuentes iconPreguntas frecuentes sobre el rup
Conozca las respuestas a las dudas más frecuentes de los empresarios sobre el alcance y el proceso de inscripción de los proponentes...
Preguntas frecuentes iconBase de documentos
Preguntas y dudas frecuentes
Preguntas frecuentes iconPreguntas frecuentes sii (versión 0) Índice

Preguntas frecuentes iconGuía mutuas las 150 preguntas más frecuentes sobre enfermedades profesionales y de la Seguridad Social
Las 150 preguntas más frecuentes sobre enfermedades profesionales y de la Seguridad Social
Preguntas frecuentes iconPreguntas frecuentes acerca de la Bonificación al retiro docente

Preguntas frecuentes iconFecha: Desde
Preguntas Frecuentes Actualizada a Abril de 2016


Descargar 52.25 Kb.