por Vicente Ribes | Ene 25, 2013 | PROTECCION DATOS
Recibimos de una asociación cliente nuestra la siguiente cuestión:
El sábado tenemos la asamblea general ordinaria, puede surgir el tema de los socios que deben la cuota, la pregunta es;
Si algún socio pregunta o quiere saber qué socios tienen deudas ¿estamos obligados a dar esa información? , ¿Podemos facilitar el listado sin que nos lo pidan a modo de presión para que paguen? No sabemos que tratamiento darle a esta información…
RESPUESTA DE ADELOPD: La comunicación de datos está regulada en el artículo 11 de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal, y se prevé dentro de su apartado primero que los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado, salvo que una Ley prevea otra cosa.
En el ámbito de una asociación, las causas de cesión / divulgación de datos personales no están amparadas por ninguna ley (como sí ocurre en el caso de una comunidad de propietarios, que se ha de regular dentro de lo que establece la ley de propiedad horizontal)
A la vista de dicho precepto y en relación con su consulta se le indica que el hecho de formar parte de la Asociación indicada implica el consentimiento de aceptación de su Estatuto y si en el mismo se prevé la posibilidad de que cualquier vecino que lo solicite pueda disponer de un listado de los mismos, el hecho de que se le facilite será legitimo.
Por tanto, una asociación sólo podrá divulgar / ceder datos para los usos legítimos que estén amparados dentro de sus estatutos. Por ejemplo: Si en los estatutos menciona que los socios que no estén al corriente de pagos tendrán voz pero no voto, para poder cumplir los propios estatutos es necesario facilitar a la Asamblea la información sobre qué socios no están al corriente de pagos. Pero si no consta una salvaguarda así en el estatuto de la asociación, no podrá divulgarse esta información.
En el caso de que el estatuto lo permita, sólo podrá citarse el nombre y apellidos del deudor, puesto que facilitar más datos como el importe que adeuda, teléfono de contacto, etc del deudor se podría considerar uso excesivo de la información.
Mucho cuidado también con publicar cualquier tipo de dato personal en un tablón de anuncios al que pueda tener acceso personas ajenas a la asociación (por ejemplo si pueden acceder personas que no sean socios). Muchas sanciones de la AGPD se producen por este motivo.
RESUMIENDO: Cualquier cesión de información ha de estar amparada por una ley, o autorizada por el propio interesado, bien de forma expresa firmando una autorización, o bien de forma tácita, puesto que para formar parte de la asociación ha de aceptar el contenido de su estatuto.
por Vicente Ribes | Mar 16, 2012 | PROTECCION DATOS
La dirección de uno de nuestros clientes nos plantea la siguiente cuestión:
Han venido a verme del sindicato X y me han pedido los datos de mis trabajadores para poder ponerse en contacto con ellos a los efectos de facilitarles información sindical para las elecciones sindicales.
¿Debo hacerlo o debo negarme? Si tengo que cederles los datos ¿tengo que tomar alguna precaución?
Respuesta de ADELOPD:
La regla general en cuanto a cesión de datos es que no se deben ceder sin el consentimiento expreso del afectado, salvo que dicha cesión esté amparada por una ley (Por ejemplo la legislación tributaria obliga a ceder a la Agencia Tributaria información de las nóminas y retenciones practicadas a cada trabajador)
La Agencia Española de Protección de Datos en su informe llega a las siguiente conclusiones:
En virtud de todo lo dispuesto, podemos concluir que el artículo 28.1 de
la Constitución Española, habilita a que se comuniquen las direcciones de
correo electrónico de los trabajadores a las secciones sindicales mas
representativas, estando por tanto la cesión amparada en el artículo 11.2 a) de
la Ley Orgánica 15/1999.
Por tanto la empresa no debe obstaculizar la labor sindical. La cesión de estos datos está perfectamente legitimada, por lo que la empresa debe ceder los datos de sus trabajadores al sindicato que lo solicite, siempre y cuando redacte un documento que refleje esta cesión.
El sistema integral de protección de datos de Adelopd contiene un modelo de este documento con todas las cláusulas necesarias para que el empresario pueda demostrar que ha actuado al 100% dentro de la legalidad.
por Vicente Ribes | Mar 15, 2012 | PROTECCION DATOS
La Sentencia 8 de febrero de 2012 del Tribunal Supremo, en la que invalida uno de los artículos del Reglamento de desarrollo de la LOPD ha suscitado un montón de titulares sensacionalistas:
– España: empresas tratarán datos personales sin consentimiento
– Las empresas podrán comercializar datos personales sin pedir permiso
– El Tribunal Supremo legaliza el uso de datos personales sin consentimiento (y con ánimo de lucro)
– Las operadoras podrán ceder los datos personales de clientes sin consentimiento previo
– El Supremo permite utilizar datos de los usuarios sin consentimiento
¿Significa esto que se ha desmontado la LOPD? Para nada.
En la sentencia, la Sala acuerda: Suspender única y exclusivamente el procedimiento respecto de la
impugnación del artículo 10 del reglamento LOPD, que queda redactado así:
Artículo 10. Supuestos que legitiman el tratamiento o cesión de los datos.
1. Los datos de carácter personal únicamente podrán ser objeto de tratamiento o cesión si el interesado hubiera prestado previamente su consentimiento para ello.
2. No obstante, será posible el tratamiento o la cesión de los datos de carácter personal sin necesidad del consentimiento del interesado cuando:
a. Lo autorice una norma con rango de ley o una norma de derecho comunitario y, en particular, cuando concurra uno de los supuestos siguientes:
El tratamiento o la cesión tengan por objeto la satisfacción de un interés legítimo del responsable del tratamiento o del cesionario amparado por dichas normas, siempre que no prevalezca el interés o los derechos y libertades fundamentales de los interesados previstos en el artículo 1 de la Ley Orgánica 15/1999, de 13 de diciembre.
El tratamiento o la cesión de los datos sean necesarios para que el responsable del tratamiento cumpla un deber que le imponga una de dichas normas.
b. Los datos objeto de tratamiento o de cesión figuren en fuentes accesibles al público y el responsable del fichero, o el tercero a quien se comuniquen los datos, tenga un interés legítimo para su tratamiento o conocimiento, siempre que no se vulneren los derechos y libertades fundamentales del interesado.
No obstante, las Administraciones públicas sólo podrán comunicar al amparo de este apartado los datos recogidos de fuentes accesibles al público a responsables de ficheros de titularidad privada cuando se encuentren autorizadas para ello por una norma con rango de ley.
El Tribunal Supremo ha estimado que esa doble condición de exigir la condición uno “datos procedentes de fuentes accesibles al público” Y la condición dos “interés legítimo” para ceder o tratar datos personales sin consentimiento es contraria al derecho comunitario, que exige únicamente la condición “interés legítimo”.
Ahora viene la pregunta del millón:
¿Eso concede carta blanca a las empresas para hacer lo que quieran con nuestros datos sin nuestro consentimiento?
Claramente todas las empresas tienen derecho a ganar dinero ¿Ese ánimo de lucro justifica que las empresas puedan de ceder o tratar datos personales sin el consentimiento del interesado?
Es casi seguro que la empresa que decida hacerlo argumentando como “interés legítimo” su interés en lucrarse con los datos personales de los ciudadanos, se arriesga a que la propia AGPD y en su caso, un Tribunal, estimen que ese interés no es tan legítimo como nuestro derecho a la protección de nuestros datos personales, que es el que inspira toda la ley europea y española.
Es harto probable, que ese comportamiento constituya una infracción grave y que a la empresa le apliquen una sanción entre 40.000 y 300.000 euros.
Cuando todo este asunto se vaya aclarando, bien con jurisrpudencia o bien ampliando/ modificando el reglamento, se delimitará el concepto de “interés legítimo” que en ningún caso estará por encima de los derechos fundamentales de las personas.
Así que, no se deje llevar por esos titulares sensacionalistas que hemos visto en días pasados. Podemos estar razonablemente tranquilos. Con la bandera del interés legítimo no se van a justificar comportamientos como la venta de bases de datos para envíos de emails masivos no solicitados (SPAM) que está específicamente prohibido por la LSSI (que no ha sido derogada ni lo será).
Esto no es el fin de la privacidad, ni de la protección de datos. Es simplemente armonizar las leyes españolas para que cumplan el derecho europeo.