tema 3_ la ley de proteccion de datos personales en el ambito sanitario y sociosanitario (1).pdf

Capítulo 3: La ley de protección de datos personales en el ámbito sanitario y sociosanitario

Legislación básica para profesionales de instituciones sanitarias y sociosanitarias 45

CAPíTuLO 3

LA LEy dE PROTECCIÓN dE dATOS PERSONALES EN EL áMBITO SANITARIO y SOCIOSANITARIO

Autores:

Pedro José Ruiz CruzBelén López HerradorLidia Pérez Martínez

3.1. Disposiciones generales

3.1.1. Objeto de la ley

3.1.2. Ámbito de aplicación

3.1.3. Definiciones

3.2. Principios de la protección de datos.

3.2.1. De calidad de los datos

3.2.2. Derecho de información en la recogida de datos

3.2.3. Consentimiento del afectado

3.2.4. Datos especialmente protegidos

3.2.5. Datos relativos a la salud

3.2.6. Seguridad de los datos

3.2.7. Deber de secreto

3.2.8. Comunicación de datos

3.2.9. Acceso a los datos por cuenta de terceros

3.3. Derechos de las personas

3.3.1. Impugnación de valoraciones

3.3.2. Derecho de consulta al Registro general de protec-ción de datos

3.3.3. Derecho de acceso

3.3.4. Derecho de rectificación y cancelación

3.3.5. Procedimiento de oposición, acceso, rectificación o cancelación


Legislación básica para profesionales de instituciones sanitarias y sociosanitarias46

3.3.6. Tutela de los derechos

3.3.7. Derecho a indemnización

3.4. Ficheros de titularidad pública y privada.

3.5. Agencia de protección de datos

3.5.1. Naturaleza y régimen jurídico

3.5.2. El director

3.5.3. Funciones

3.5.4. Consejo consultivo

3.5.5. El registro general de protección de datos

3.5.6. Potestad de inspección

3.5.7. Órganos correspondientes de las comunidades autó-nomas

3.5.8. Ficheros de las comunidades autónomas en materia de su exclusiva competencia

3.6. Infracciones y sanciones

3.7. Bibliografía

3.8. Autoevaluación



INTROduCCIÓN

El artículo 10 de la Constitución reconoce el derecho a la dignidad de la persona. El derecho a la protección de datos emana de la Constitución que en su artículo 18.4 así lo reconoce, limitando el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos., de ambos artículos se desarrollará con posterioridad el marco normativo que generó la Ley orgánica 15/1999, de 13 de diciembre, de protec-ción de datos de carácter personal (en lo sucesivo LOPD) donde se reconocen a los ciudadanos los denominados derechos ARCO, acceso, rectificación, cance-lación y oposición de sus datos personales, para solicitar que sean modificados, cancelados o bien para oponerse a su tratamiento en ficheros automatizados, o en cualquier otro soporte ya sea papel, audio, etc. El ejercicio de éstos derechos siempre tendrá un carácter gratuito.

El tratamiento de datos de carácter personal ha de realizarse de acuerdo con los principios de información, calidad, finalidad, consentimiento y seguridad, principios recogidos en la LOPD.

La Agencia Española de Protección de Datos (en lo sucesivo AEDP) es el ente de derecho público que vela por el cumplimiento de la normativa sobre pro-tección de datos actuando para ello con independencia de las Administraciones Públicas.

Cuando existan pruebas razonables de que se ha producido alguna infrac-ción de los principios y garantías contenidas en la LOPD, se pondrá en marcha el procedimiento sancionador el cual viene reflejado en los artículos del 43 al 49 de la misma.

3.1. dISPOSICIONES GENERALES (TíTuLO I)

3.1.1. OBJETO DE LA LEY (ARTÍCULO 1)

La Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (en lo sucesivo LOPD) tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad.

Parece razonable entender que cualquier sistema sanitario tanto público como privado, así como cualquier empresa continuamente está manejando numerosos datos, algunos de ellos expresan hábitos de consumo, situaciones socioeconómicas manifiestamente delicadas y que no pueden quedar al fácil



trasiego, manipulación, difusión o consumo de cualquiera, por ser alguno de ellos sensibles. Por ello ya desde la Constitución se trata éste tema con carácter ga-rantista y entendido como derecho fundamental.

Éste sentido garantista hace que tanto el titular del dato, como quien lo de-tenta en un fichero o quien los trate deben de ser muy conscientes de su impor-tancia, limitaciones, derechos y obligaciones. Del buen uso y posterior tratamien-to de los mismos se deriva sensación de seguridad para la parte que los cede.

La normativa reguladora a nivel europeo emana de la Directiva 95/46/CE que no es más que un marco general regulador y que posibilita el libre tránsito de datos personales dentro de la UE. También podemos señalar la Carta de los Derechos Fundamentales de la Unión Europea.

En cuanto a la normativa española no podemos olvidar que el marco gene-ral regulador se encuentra en el artículo 18.4 de la Constitución Española con el consiguiente desarrollo de la ley Orgánica 15/1999, de 13 de diciembre de, Protección de Datos de carácter personal (LOPD) y el Reglamento de Desarrollo de la Ley Orgánica 15/99, de 13 de diciembre de Protección de Datos (en lo su-cesivo RLOPD).

3.1.2. ÁMBITO DE APLICACIÓN (ARTÍCULO 2)

1. La presente Ley Orgánica se le aplicará a los datos de carácter perso-nal registrados en soporte físico, susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado. Se regirá por la presente Ley Orgánica cuando concurran los siguientes hechos:

a) Cuando el tratamiento sea efectuado en territorio español en el marco de las actividades de un establecimiento del responsable del tratamiento.

b) Cuando al responsable del tratamiento no establecido en territorio español, le sea de aplicación la legislación española en aplicación de normas de Derecho Internacional público.

c) Cuando el responsable del tratamiento no esté establecido en te-rritorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, salvo que tales medios se utilicen únicamente con fines de tránsito.



2. El régimen de protección de los datos de carácter personal que se esta-blece en la presente Ley Orgánica no será de aplicación:

a) A los ficheros mantenidos por personas físicas en el ejercicio de actividad personales o domésticas.

b) A los ficheros sometidos a la normativa sobre protección de mate-rias clasificadas.

c) A los ficheros creados en materia de terrorismo y de formas graves de delincuencia organizada.

3. Tendrán un tratamiento específico, y especialmente previsto, en su caso, por esta Ley Orgánica los siguientes tratamientos de datos per-sonales:

a) Los ficheros regulados por la legislación de régimen electoral.

b) Los que sirvan a fines estadísticos, y estén amparados por la le-gislación estatal o autonómica sobre la función estadística pública.

c) Aquellos en los que se detallen informes de los datos referidos de la legislación del régimen del personal de las Fuerzas Armadas.

d) Los derivados del Registro Civil y del Registro Central de penados y rebeldes.

e) Los procedentes de imágenes y sonidos obtenidos mediante la uti-lización de videocámaras por las Fuerzas y Cuerpos de Seguridad, de conformidad con la legislación sobre la materia.

3.1.3. DEFINICIONES (ARTÍCULO 3)

A los efectos de la presente Ley Orgánica se entenderá por:

a) Datos de carácter personal: Cualquier información concerniente a per-sonas físicas identificadas o identificables.

Deberemos entender como dato en el ámbito sanitario lo descrito en la RLOPD que en su artículo 5.1.g determina que “...los datos rela-cionados con la salud son las informaciones concernientes a la salud pasada, presente y futura, física y/ o mental, de un individuo”. Por lo tanto, patologías, datos psiquiátricos o psicológicos, grados de incapa-



cidad o invalides, información genética son datos de salud protegidos. Como parece razonable pensar todos los titulares podemos entender que nuestros datos son los que resulta importantes proteger, pero la normativa establece que algunos datos son especialmente protegidos quedando regulado en la LOPD como aquellos relacionados con la ideo-logías, afiliación sindical, religión o creencias, aquellos que hacen refe-rencia al origen racial, a la salud y a la vida sexual, o cuando aportan informaciones sobre infracciones penales administrativas.

b) Fichero: Todo conjunto organizado de datos de carácter personal, cual-quiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.

c) Tratamiento de datos: Operaciones y procedimientos técnicos de ca-rácter automatizado o no, que permitan la recogida, grabación, conser-vación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interco-nexiones y transferencias.

d) Responsable del fichero o tratamiento: Persona física o jurídica, de na-turaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.

e) Afectado o interesado: Persona física titular de los datos que sean obje-to del tratamiento a que se refiere en apartados anteriores del presente artículo.

f) Procedimiento de disociación: Todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable.

En definitiva la disociación es un intento por proteger la intimidad del titular del dato, el límite de disociación entre dato y titular lo deter-mina la AEPD cuando determina la imposibilidad del asociar un determi-nado dato con su titular, es decir que el nexo de unión ha desaparecido o si el esfuerzo económico o de trabajo que exigiría resultaría despro-porcionado

g) Encargado del tratamiento: La persona física o jurídica, autoridad públi-ca, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamien-to.



h) Consentimiento del interesado: Toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado con-sienta el tratamiento de datos personales que le conciernen.

i) Cesión o comunicación de datos: Toda revelación de datos realizada a una persona distinta del interesado.

j) Fuentes accesibles al público: Aquellos ficheros cuya consulta puede ser realizada por cualquier persona, no impedida por una norma limitativa, o sin más exigencia que, en su caso, el abono de una contraprestación. Tienen la consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previs-tos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nom-bre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público, los Diarios y Boletines oficiales y los medios de comu-nicación.

3.2. PRINCIPIOS dE LA PROTECCIÓN dE dATOS (TíTuLO II).

Toda persona tiene derecho a saber por qué y cómo son tratados sus datos personales y decidir acerca del tratamiento, de esa forma la protección de datos puede considerarse una condición preventiva para la garantía de otras libertades y derechos fundamentales, y como tales recogidos en la Carta Magna que en su artículo 28 así se detalla. Cualquier procedimiento penal o civil se puede sus-tentar en el archivo del proceso si se demuestra que el conocimiento y acciones sobre las que versa ésta si se obtuvieron de forma contraria a la ley. Valga como ejemplo los datos o informaciones en general obtenidos de pinchazos telefóni-cos no autorizados.

La LOPD reconoce específicamente a los ciudadanos los siguientes dere-chos en materia de protección de datos:

3.2.1. DE CALIDAD DE LOS DATOS (ARTÍCULO 4)

1. Los datos de carácter personal sólo se podrán recoger para su trata-miento, así como someterlos a dicho tratamiento, cuando sean ade-cuados, pertinentes y no excesivos en relación con el ámbito y las fi-nalidades determinadas, explícitas y legítimas para las que se hayan obtenido. Parece razonable entender que si se le solicita a una persona datos referidos a sus costumbres sexuales el fin no podrá ser determi-nar los hábitos alimenticios de la familia media española



2. Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles, distintas como refleja la Agencia Espa-ñola de Protección de Datos con aquellas para las que los datos hu-bieran sido recogidos. No se considerará incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos.

3. Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado.

4. Si los datos de carácter personal registrados resultaran ser inexactos, en todo o en parte, o incompletos, serán cancelados y sustituidos de oficio por los correspondientes datos rectificados o completados.

5. Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados. No serán conservados en forma que per-mita la identificación del interesado durante un período superior al ne-cesario para los fines en base a los cuales hubieran sido recabados o registrados. Reglamentariamente se determinará el procedimiento por el que, por excepción, atendidos los valores históricos, estadísticos o científicos de acuerdo con la legislación específica, se decida el mante-nimiento íntegro de determinados datos.

6. Los datos de carácter personal serán almacenados de forma que per-mitan el ejercicio del derecho de acceso, salvo que sean legalmente cancelados. En el ámbito sanitario se establece la obligación de conser-var la documentación clínica en condiciones que garanticen su correcto mantenimiento y seguridad, siempre como mínimo 5 años. La conser-vación no obliga a que el soporte sea siempre el original.

7. Se prohíbe la recogida de datos por medios fraudulentos, desleales o ilícitos.

3.2.2. DERECHO DE INFORMACIÓN EN LA RECOGIDA DE DATOS (ARTÍCULO 5)

1. Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:

a) De la existencia de un fichero o tratamiento de datos de carácter personal, su finalidad y de los destinatarios de la información.



b) Del carácter obligatorio o facultativo de su respuesta a las pregun-tas que les sean planteadas.

c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.

d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.

e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante. Cuando el responsable del tratamiento no esté establecido en el territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, deberá designar, salvo que tales medios se utilicen con fines de tránsito, un representante en España, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del trata-miento.

Cuando se utilicen cuestionarios u otros impresos para la recogida, figura-rán en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior.

Cuando los datos de carácter personal no hayan sido recabados del intere-sado, éste deberá ser informado de forma expresa, precisa e inequívoca, por el responsable del fichero o su representante, dentro de los tres meses siguientes al momento del registro de los datos, salvo que ya hubiera sido informado con anterioridad, del contenido del tratamiento, de la procedencia de los datos

No será de aplicación cuando el tratamiento tenga fines históricos, estadís-ticos o científicos, o cuando la información al interesado resulte imposible o exija esfuerzos desproporcionados, en consideración al número de interesados, a la antigüedad de los datos y a las posibles medidas compensatorias. Asimismo, tampoco regirá lo dispuesto en el apartado anterior cuando los datos procedan de fuentes accesibles al público y se destinen a la actividad de publicidad o pros-pección comercial, en cuyo caso, en cada comunicación que se dirija al interesa-do se le informará del origen de los datos y de la identidad del responsable del tratamiento así como de los derechos que le asisten.

Parece claro que tenemos el derecho a ser informados, que será reflejada de forma generalmente verbal, pero… ¿y a no ser informados? Evidentemente también tenemos derecho a no ser informados, aunque con sus limitaciones pues se deberá expresar por escrito su renuncia. Éste derecho no es absoluto pues en el caso de enfermedades contagiosas debemos de pensar en evitar el contagio a terceros.



Éste aspecto del derecho o no a ser informado es fuente continuo de con-flictos, así como mínimo se reflejará la finalidad, naturaleza de la intervención, riesgos y consecuencias. Siempre de forma comprensible y adecuada a sus ne-cesidades Serán responsables de garantizar este proceso desde el médico res-ponsable o prescriptor de la intervención, los profesionales que atiendan durante el proceso asistencial o si aplicaran un procedimiento concreto.

3.2.3. CONSENTIMIENTO DEL AFECTADO (ARTÍCULO 6)

1. El tratamiento de los datos de carácter personal requerirá el consenti-miento inequívoco del afectado, salvo que la Ley disponga otra cosa.

2. No será preciso el consentimiento cuando los datos de carácter per-sonal se recojan para el ejercicio de las funciones propias de las Ad-ministraciones Públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación nego-cial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7 apartado 6 de la presente Ley, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulne-ren los derechos y libertades fundamentales del interesado.

3. El consentimiento a que se refiere el artículo podrá ser revocado cuan-do exista causa justificada para ello y no se le atribuyan efectos retroac-tivos.

4. En los casos en los que no sea necesario el consentimiento del afecta-do para el tratamiento de los datos de carácter personal, y siempre que una Ley no disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En tal supuesto, el responsable del fichero excluirá del tratamiento los datos relativos al afectado.

3.2.4. DATOS ESPECIALMENTE PROTEGIDOS (ARTÍCULO 7)

1. De acuerdo con lo establecido en el apartado 2 del artículo 16 de la Constitución, nadie podrá ser obligado a declarar sobre su ideología, religión o creencias. Cuando en relación con estos datos se proceda



a recabar el consentimiento a que se refiere el apartado siguiente, se advertirá al interesado acerca de su derecho a no prestarlo.

Para recabar datos referentes a ideologías, afiliación sindical, re-ligiosa o creencias se precisara consentimiento expreso y por escrito. Se exceptúan los ficheros mantenidos por los partidos políticos, sindi-catos, iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y otras entidades sin ánimo de lucro, cuya finalidad sea po-lítica, filosófica, religiosa o sindical, en cuanto a los datos relativos a sus asociados o miembros, sin perjuicio de que la cesión de dichos datos precisará siempre el previo consentimiento del afectado.

2. Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, lo disponga una Ley o el afec-tado consienta expresamente.

3. Los datos de carácter personal relativos a la comisión de infracciones penales o administrativas sólo podrán ser incluidos en ficheros de las Administraciones Públicas.

4. Los datos podrán ser objeto de tratamiento, cuando resulte necesa-rio para la prevención o para el diagnóstico médico, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios, siempre que dicho tratamiento de datos se realice por un profesional sanitario sujeto al secreto profesional o por otra persona su-jeta asimismo a una obligación equivalente de secreto. También podrán ser objeto de tratamiento los datos a que se refiere el párrafo anterior cuando el tratamiento sea necesario para salvaguardar el interés vital del afectado o de otra persona, en el supuesto de que el afectado esté física o jurídicamente incapacitado para dar su consentimiento.

3.2.5. DATOS RELATIVOS A LA SALUD (ARTÍCULO 8)

Sin perjuicio de lo que se dispone en el artículo 11 respecto de la cesión, las instituciones y los centros sanitarios públicos y privados y los profesionales co-rrespondientes podrán proceder al tratamiento de los datos de carácter personal relativos a la salud de las personas que a ellos acudan o hayan de ser tratados en los mismos, de acuerdo con lo dispuesto en la legislación estatal o autonómica sobre sanidad.



3.2.6. SEGURIDAD DE LOS DATOS (ARTÍCULO 9)

1. El responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesa-rias que garanticen la seguridad de los datos de carácter personal y evi-ten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almace-nados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural. En éste sentido el artículo 9 de la LOPD establece literalmente que “el responsable del fichero, y en su caso, el encargado del tratamiento deberán adoptar las medidas de ín-dole técnicas y organizativas necesarias que garanticen la seguridad de los datos... eviten su alteración, pérdida, acceso no autorizado, habida cuenta del estado de la tecnología....”.

2. No se registrarán datos de carácter personal en ficheros que no reúnan las condicionesque se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.

3. Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros y las personas que intervengan en el trata-miento de los datos a que se refiere el artículo 7 de esta Ley.

Todas estas salvaguardas tiene la limitación en el punto 6 del referido artícu-lo pues posibilita la cesión de dichos datos especialmente protegidos”...cuando dicho tratamiento resulte necesario para la prevención o para el diagnóstico mé-dico, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios...”.

El nivel de seguridad y las medidas deben ser acordes al estado de la tec-nología, la naturaleza de los datos y los riesgos ya sean por medios físicos y humanos. De esta manera se formulan tres niveles de seguridad: Alto, Medio y Básico. Estos niveles son acumulativos, es decir las medidas de Alta Seguridad incluirán también aquellas medidas de ficheros de Baja Seguridad.

Nivel de seguridad alto

Estarán sometidos los ficheros y tratamientos referidos a ideologías, afi-liación sindical, origen racial, salud y vida sexual. Aquellos ficheros recabados para fines policiales sin el consentimiento de las personas afectadas o los datos derivados de violencia de género.



Nivel de seguridad medio

Estarán sometidos aquellos ficheros y el tratamiento de los datos consi-guiente cuando versen sobre aspectos de la personalidad de los individuos que permitan evaluar a las personas en ciertos aspectos, cuando contengan datos de las Administraciones Tributarias, cuando los poseedores sean Entidades Gesto-ras y Servicios Comunes de la Seguridad Social dentro del ejercicio de sus com-petencias, así como las mutuas de accidentes de trabajo y enfermedades profe-sionales de la Seguridad Social. Dentro de éste nivel de seguridad se encuentran aquellas empresas que explotan servicios de comunicaciones electrónicas.

Nivel bajo

Si los datos que se utilizan tienen como única finalidad realizar transferen-cias dinerarias a las entidades de las que son socios, o si poseen información sobre grado de discapacidad o invalidez del afectado.

3.2.7. DEBER DE SECRETO (ARTÍCULO 10)

El responsable del fichero y quienes intervengan en cualquier fase del trata-miento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.

3.2.8. COMUNICACIÓN DE DATOS (ARTÍCULO 11)

1. Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.

2. El consentimiento exigido en el apartado anterior no será preciso:

a) Cuando la cesión está autorizada en una Ley.

b) Cuando se trate de datos recogidos de fuentes accesibles al pú-blico.

c) Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control impli-que necesariamente la conexión de dicho tratamiento con ficheros de terceros. En éste caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique.



d) Cuando la comunicación que deba efectuarse tenga por destina-tario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funcio-nes que tiene atribuidas. Tampoco será preciso el consentimiento cuando la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas.

e) Cuando la cesión se produzca entre Administraciones Públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos.

f) Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los tér-minos establecidos en la legislación sobre sanidad estatal o auto-nómica.

3. Será nulo el consentimiento para la comunicación de los datos de ca-rácter personal a un tercero cuando la información que se facilite al interesado no le permita conocer la finalidad a que destinarán los datos cuya comunicación se autoriza o el tipo de actividad de aquél a quien se pretenden comunicar.

4. El consentimiento para la comunicación de los datos de carácter perso-nal tiene también un carácter de revocable.

5. Aquél a quien se comuniquen los datos de carácter personal se obliga, por el solo hecho de la comunicación, a la observancia de las disposi-ciones de la presente Ley.

6. Si la comunicación se efectúa previo procedimiento de disociación, no será aplicable lo establecido en los apartados anteriores.

3.2.9. ACCESO A LOS DATOS POR CUENTA DE TERCEROS (ARTÍCULO 12)

1. No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento.

2. La realización de tratamientos por cuenta de terceros deberá estar re-gulada en un contrato que deberá constar por escrito o en alguna otra



forma que permita acreditar su celebración y contenido, estableciéndo-se expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas. En el contrato se estipularán, asimismo, las medidas de se-guridad a que se refiere el artículo 9 de esta Ley que el encargado del tratamiento está obligado a implementar.

3. Una vez cumplida la prestación contractual, los datos de carácter perso-nal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.

4. En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado, también, responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personal-mente.

3.3. dERECHOS dE LAS PERSONAS (TíTuLO III)

3.3.1. IMPUGNACIÓN DE VALORACIONES (ARTÍCULO 13)

1. Los ciudadanos tienen derecho a no verse sometidos a una decisión con efectos jurídicos, sobre ellos o que les afecte de manera significa-tiva, que se base únicamente en un tratamiento de datos destinados a evaluar determinados aspectos de su personalidad.

2. El afectado podrá impugnar los actos administrativos o decisiones pri-vadas que impliquen una valoración de su comportamiento, cuyo úni-co fundamento sea un tratamiento de datos de carácter personal que ofrezca una definición de sus características o personalidad.

3. En este caso, el afectado tendrá derecho a obtener información del responsable del fichero sobre los criterios de valoración y el programa utilizados en el tratamiento que sirvió para adoptar la decisión en que consistió el acto.

4. La valoración sobre el comportamiento de los ciudadanos basada en un tratamiento de datos, únicamente podrá tener valor probatorio a peti-ción del afectado.



3.3.2. DERECHO DE CONSULTA AL REGISTRO GENERAL DE PROTECCIÓN DE DATOS (ARTÍCULO 14)

Cualquier persona podrá conocer, recabando a tal fin la información opor-tuna del Registro General de Protección de Datos, la existencia de tratamientos de datos de carácter personal, sus finalidades y la identidad del responsable del tratamiento. El Registro General será de consulta pública y gratuita.

3.3.3. DERECHO DE ACCESO (ARTÍCULO 15)

El derecho de acceso es el derecho del afectado a obtener gratuitamente información sobre si sus propios datos de carácter personal están siendo objeto de tratamiento, la finalidad del tratamiento que, en su caso, se esté realizando, así como la información disponible sobre el origen de dichos datos y las comu-nicaciones realizadas o previstas de los mismos, el interesado tendrá derecho a solicitar y obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, el origen de dichos datos así como las comunicaciones realizadas o que se prevén hacer de los mismos.

La información podrá obtenerse mediante la mera consulta de los datos por medio de su visualización, o la indicación de los datos que son objeto de tratamiento mediante escrito, copia, telecopia o fotocopia, certificada o no, en forma legible e inteligible, sin utilizar claves o códigos que requieran el uso de dispositivos mecánicos específicos, el afectado podrá obtener del responsable del tratamiento información relativa a datos concretos, a datos incluidos en un determinado fichero, o a la totalidad de sus datos sometidos a tratamiento.

No obstante, cuando razones de especial complejidad lo justifiquen, el res-ponsable del fichero podrá solicitar del afectado la especificación de los ficheros respecto de los cuales quiera ejercitar el derecho de acceso, a cuyo efecto debe-rá facilitarle una relación de todos ellos. Los sistemas de consulta del fichero pre-vistos en el apartado anterior podrán restringirse en función de la configuración o implantación material del fichero o de la naturaleza del tratamiento, siempre que el que se ofrezca al afectado sea gratuito y asegure la comunicación escrita si éste así lo exige

El derecho de acceso a que se refiere este artículo sólo podrá ser ejercitado a intervalos no inferiores a doce meses, salvo que el interesado acredite un inte-rés legítimo al efecto, en cuyo caso podrá ejercitarlo antes. Independientemente de que la solicitud de derecho acceso sea estimada o no, el responsable del fichero resolverá sobre la misma en el plazo máximo de un mes, a contar desde su recepción.



En el caso de que no disponga de datos de carácter personal de los afec-tados deberá igualmente comunicarse en el mismo plazo podrá denegarse el acceso en los supuestos en que así lo prevea una ley o una norma de derecho comunitario de aplicación directa o cuando éstas impidan al responsable del tra-tamiento revelar a los afectados el tratamiento de los datos a los que se refiera el acceso.

El derecho al acceso del paciente a la documentación de la historia clínica no puede ejercitarse en perjuicio del derecho de terceras personas a la confi-dencialidad de los datos que constan en ella recogidos en interés terapéutico del paciente, ni en perjuicio del derecho de los profesionales participantes en su elaboración, los cuales pueden oponer al derecho de acceso la reserva de sus anotaciones subjetivas

En todo caso, el responsable del fichero informará al afectado de su dere-cho a recabar la tutela de la Agencia Española de Protección de Datos o, en su caso, de las autoridades de control de las comunidades autónomas, conforme a lo dispuesto en el artículo 18 de la Ley Orgánica 15/1999, de 13 de diciembre.

En el caso de pacientes fallecidos el acceso a su historia clínica se verá limi-tado a las personas vinculadas por razones familiares o de hecho, salvo prohibi-ción explícita del fallecido. Si un paciente no pudra ejercitar su derecho de acceso personalmente podrá ejercerlo mediante representación acreditada.

En todo momento la información que se cede se ceñirá a lo solicitado, sin que el responsable del centro interprete lo que se manifieste en la solicitud, y en todo caso a se ejecutará lo que dispongan tribunales y jueces, reconociendo del derecho a la historia clínica con fines estadísticos, epidemiológicos, de salud pública, de investigación y docencia, limitándose a los objetivos específicos en cada caso y teniendo siempre la premisa de la disociación entre los datos de identificación de paciente y los de carácter clínico asistencial. En cualquier caso será precisa la presentación del certificado de defunción, DNI del interesado que formula la petición y la documentación acreditativa del vínculo familiar o de he-cho. Siempre se omitirá en la información que se ceda las opiniones subjetivas de los profesionales

3.3.4. DERECHO DE RECTIFICACIÓN Y CANCELACIÓN (ARTÍCULO 16)

El derecho de Rectificación es derecho del afectado a que se modifiquen los datos que resulten ser inexactos o incompletos, y sin perjuicio de la rectifi-cación de oficio. El responsable del tratamiento tendrá la obligación de hacer efectivo el derecho de rectificación del interesado en el plazo de diez días, aún



cuando no se tenga información del solicitante, estando obligado a notificar dicha carencia. Transcurrido el plazo sin que de forma expresa se responda a la peti-ción, el interesado podrá interponer la reclamación prevista en el artículo 18 de la Ley Orgánica 15/1999, de 13 de diciembre

No se exigirá contraprestación alguna por el ejercicio de los derechos de oposición, acceso, rectificación o cancelación.

Este procedimiento no será de aplicación a los datos referidos a personas fallecidas. No obstante, las personas vinculadas al fallecido, por razones familia-res o análogas, podrán dirigirse a los responsables de los ficheros o tratamientos que contengan datos de éste con la finalidad de notificar el óbito, aportando acreditación suficiente del mismo, y solicitar, cuando hubiere lugar a ello, la can-celación de los datos.

La solicitud de rectificación deberá indicar a qué datos se refiere y la co-rrección que haya de realizarse y deberá ir acompañada de la documentación justificativa de lo solicitado. La cancelación dará lugar al bloqueo de los datos, conservándose únicamente a disposición de las Administraciones Públicas, Jue-ces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas. Cumplido el citado plazo deberá procederse a la supresión

Podrá denegarse el derecho de rectificación en los supuestos en que así lo prevea una ley o una norma de derecho comunitario de aplicación directa o cuando éstas impidan al responsable del tratamiento revelar a los afectados el tratamiento de los datos a los que se refiera el acceso.

En todo caso, el responsable del fichero informará al afectado de su dere-cho a recabar la tutela de la Agencia Española de Protección de Datos o, en su caso, de las autoridades de control de las Comunidades Autónomas, conforme a lo dispuesto en el artículo 18 de la Ley Orgánica 15/1999, de 13 de diciembre.

Si la petición resulta estimatoria se procederá a la ejecución de la solicitud a través del Responsable Funcional de Aplicación correspondiente al sistema que mantiene los datos incorrectos o a través del propio Servicio de Atención al Usuario siempre que sea posible.

Si los datos rectificados hubieran sido cedidos previamente, el Servicio de Atención al Usuario en nombre del responsable del fichero, deberá comunicar la rectificación efectuada al cesionario, en idéntico plazo, para que éste, también en el plazo de diez días contados desde la recepción de dicha comunicación, proceda, asimismo, a rectificar los datos.



3.3.5. PROCEDIMIENTO DE OPOSICIÓN, ACCESO, RECTIFICACIÓN O CANCELACIÓN (ARTÍCULO 17)

1. Los procedimientos para ejercitar el derecho de oposición, acceso, así como los de rectificación y cancelación serán establecidos reglamenta-riamente.

2. No se exigirá contraprestación alguna por el ejercicio de los derechos de oposición, acceso, rectificación o cancelación, los comúnmente re-conocidos como derechos ARCO, a través de ellos los usuarios tanto de centros privados como públicos pueden conocer como se obtuvie-ron sus datos, rectificar errores detectados, ejercer su derecho rectifi-cación de errores, cancelarlos o incluso oponernos a su tratamiento si así lo deseamos.

Poseen un carácter estrictamente personal, de tal forma que para su ejer-cicio tendremos que demostrar nuestra identidad y solo podremos interesarnos por los datos relativos a nuestra persona, salvo que acreditemos la autorización por parte de un tercero. Para poder ejecutarlos tendremos que dirigirnos al res-ponsable del fichero utilizando cualquier medio que permita acreditar dicha solici-tud. En todo caso el ejercicio de cualquiera de estos derechos es expresamente gratuito y sencillo.

Son derechos independientes, y por los tanto podremos ejercer a la vez el derecho de rectificación y cancelación, sin ser preciso que se resuelva uno para ejercer el siguiente.

El artículo 25 del Reglamento de Desarrollo de la Ley de Protección de Datos establece que el contenido de las solicitudes será:

Nombre y apellidos del interesado, así como su acreditación por documento nacional de identificación, pasaporte o documento válido que lo identifique.

* Petición donde se concrete la solicitud

* Dirección a efecto de notificaciones, fecha y firma del solicitante

* Documentos acreditativos de la petición que se formula

En cualquier caso el responsable del fichero atenderá la petición, incluso cuando no existan datos en sus ficheros sobre el interesado. Pueden consultarse modelos para el ejercicio de los derechos en Canal del Ciudadano de la Agencia Española de Protección de Datos.



3.3.6. TUTELA DE LOS DERECHOS (ARTÍCULO 18)

Siempre que se deniegue alguno de los derechos de Acceso, Rectificación, Cancelación u Oposición, se informará al afectado de su derecho a recabar la tutela de la Agencia Española de Protección de Datos o, en su caso, de las auto-ridades de control de las comunidades autónomas, conforme a lo dispuesto en el artículo 18 de la Ley Orgánica 15/1999, de 13 de diciembre (art. 30.3) La respues-ta que por parte de administración se otorgue, ya sea estimatoria o desestimaría deberá ser notificada.

Deberá denegarse el derecho de acceso en las circunstancias siguien-tes:

El derecho de acceso se ha ejercitado dentro de los doce meses anteriores a la solicitud sin acreditar interés legítimo al efecto (art. 30.1)

El peticionario es persona distinta del paciente/afectado y no acredita inte-rés legítimo. (Artículo 18.4 Ley 41/2002 básica reguladora de la autonomía del paciente). De suscitarse dudas sobre el legítimo interés del solicitante, se le requerirá la documentación que se estime pertinente para tal fin; si persistiera la duda, se denegará de forma motivada la solicitud. (Por ejemplo, padre al que se le ha sido retirado la patria potestad de su hijo)

El peticionario es persona distinta del paciente/afectado y no acredita repre-sentación/autorización del paciente/afectado. (Artículo 18.2, Ley 41/2002 básica reguladora de la autonomía del paciente)

El peticionario es persona distinta del paciente/afectado, que se encuentra ya fallecido, y ha prohibido expresamente el acceso a su historia clínica. (Artículo 18.4 Ley 41/2002 básica reguladora de la autonomía del paciente)

El peticionario es persona distinta del paciente/afectado, que se encuentra ya fallecido, y no demuestra vinculación familiar o de hecho respecto del pacien-te/afectado. (Artículo 18.4 Ley 41/2002 básica reguladora de la autonomía del paciente).

Deberán denegarse los derechos de Cancelación y Rectificación en las circunstancias siguientes, siempre que:

– La cancelación no procede debido a que los datos de carácter personal deben ser conservados durante los plazos previstos en el artículo 17.1 de la Ley 41/2002, de 14 de noviembre básica reguladora de la autono-mía del paciente.



– La cancelación no procede debido a que los datos de carácter personal deben ser conservados a efectos judiciales de conformidad con la le-gislación vigente. (Artículo 17.2 de la Ley 41/2002, de 14 de noviembre básica reguladora de la autonomía del paciente).

– La cancelación no procede debido a que los datos de carácter personal deben ser conservados a efectos por razones epidemiológicas, de in-vestigación o de organización y funcionamiento del Sistema Nacional de Salud. (Artículo 17.2 de la Ley 41/2002, de 14 de noviembre básica reguladora de la autonomía del paciente).

– Existen relaciones contractuales en vigor con el afectado que hacen ne-cesario el tratamiento de los datos. (Vg. Contrato de trabajo en vigor) (Art. 33.1 RDLOPD)

– La rectificación o cancelación, no procede. La información objeto de rec-tificación o cancelación cumple con la Ley Orgánica 15/1999, de 13 de Diciembre, de Protección de Datos de Carácter Personal, es exacta, y es completa.

Deberá denegarse el derecho de Oposición al tratamiento en las circuns-tancias siguientes:

El ejercicio al derecho de Oposición al tratamiento no procede cuando la información del paciente/afectado es objeto de tratamiento exclusivamente por parte de los profesionales de la salud involucrados directamente en su diagnós-tico o tratamiento. (Artículo 16.1 de la Ley 41/2002, de 14 de noviembre básica reguladora de la autonomía del paciente.)

3.3.7. DERECHO A INDEMNIZACIÓN (ARTÍCULO 19)

1. Los interesados que, como consecuencia del incumplimiento de lo dispuesto en la presente Ley por el responsable o el encargado del tratamiento, sufran daño o lesión en sus bienes o derechos tendrán derecho a ser indemnizados.

2. Cuando se trate de ficheros de titularidad pública, la responsabilidad se exigirá de acuerdo con la legislación reguladora del régimen de respon-sabilidad de las Administraciones Públicas.

3. En el caso de los ficheros de titularidad privada, la acción se ejercitará ante los órganos de la jurisdicción ordinaria.



3.4. fICHEROS dE TITuLARIdAd PúBLICA y PRIVAdA. (TíTuLO IV, ARTíCuLOS 20 AL 32)

La normativa sobre protección de datos desarrolla los aspectos relativos a los ficheros de titularidad pública y privada desde el artículo 20 al 32. Se consi-dera fichero a todo conjunto organizado de datos de carácter personal cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso. (art.3 LOPD y 5.1k del Reglamento de desarrollo de la LOPd (RLOPd).

Podemos diferenciar entre la existencia de ficheros automatizados y fiche-ros no automatizados. El RLOPD sólo define el fichero no automatizado, que se define como “todo conjunto de datos de carácter personal organizado de forma no automatizada y estructurado conforme a criterios específicos relativos a per-sonas físicas, que permitan acceder sin esfuerzos desproporcionados a sus da-tos personales, ya sea aquél centralizado, o descentralizado o repartido de forma funcional o geográfica (artículo 5.1.n RLOPD). Sin embargo, en el caso de fichero automatizado, podemos definirlo como “todo conjunto de datos de carácter per-sonal que se encuentra organizado de forma automatizada”.

En cuanto a lo que se refiere a los ficheros públicos, el Reglamento los define como aquéllos ficheros que tienen como responsable a los órganos cons-titucionales o con relevancia constitucional del Estado o las instituciones auto-nómicas con funciones análogas a los mismos, las Administraciones públicas territoriales, así como las entidades u organismos vinculados o dependientes de las mismas y las Corporaciones de derecho público siempre que su finalidad sea el ejercicio de potestades de derecho público.

Para la creación, modificación y supresión de los ficheros de titularidad pública, a diferencia de los ficheros de titularidad privada, sólo podrán crearse, modificarse y suprimirse a través de disposición general publicada en el Boletín Oficial del Estado o Diario Oficial correspondiente (artículo 21.1 LOPD y art. 52.1 del RLOPD). Cuando se menciona al Diario Oficial, se está refiriendo a los Bole-tines Oficiales de cada Comunidad Autónoma.

Los ficheros de titularidad pública se deberán notificar ante la AEPD (Agen-cia Española de protección de datos) No obstante, cuando se trate de ficheros sujetos a la competencia de la autoridad de control de una comunidad autónoma que haya creado su propio registro de ficheros, la notificación se reali-zará a la autoridad autonómica competente. Ésta se encargará de dar traslado de la inscripción al Registro General de Protección de Datos.



El plazo para la notificación es de treinta días desde la publicación de la norma o acuerdo de creación en el Boletín Oficial del Estado o diario oficial co-rrespondiente.

En la notificación de titularidad pública se deberá acompañar a dicha noti-ficación una copia de la norma o acuerdo de creación, modificación o supresión de fichero.

Como Ficheros Privados podemos entender son aquéllos de los que sean responsables las personas, empresas o entidades de derecho privado, con in-dependencia de quien ostente la titularidad de su capital o de la procedencia de sus recursos económicos; también se incluyen los ficheros de los que sean res-ponsables las corporaciones de derecho público, en cuento dichos ficheros no se encuentren estrictamente vinculados al ejercicio de potestades de derecho público que a las mismas atribuye su normativa específica (artículo 5.1.l RLOPD)

La LOPD establece la posibilidad de creación de ficheros de titularidad pri-vada que contengan datos de carácter personal cuando resulte necesario para el logro de la actividad u objeto legítimos de la persona, empresa o entidad titular y se respeten las garantías que esta Ley establece para la protección de personas (art. 25 LOPD).

Cuando los ficheros de datos de carácter personal de titularidad privada se creen deben ser notificados a la AEPD. No obstante, cuando se trate de ficheros sujetos a la competencia de la autoridad de control de una comunidad autónoma que haya creado su propio registro de ficheros, la notificación se realizará a la autoridad autonómica competente. Ésta se encargará de dar traslado de la ins-cripción al Registro General de Protección de Datos.

Para realizar la notificación es a través de la persona o entidad privada que pretenda crearlos con carácter previo a su creación (art.26.1. RLOPD).

3.5. AGENCIA dE PROTECCIÓN dE dATOS (TíTuLO VI)

3.5.1. NATURALEZA Y RÉGIMEN JURÍDICO (ARTÍCULO 35)

1. La Agencia de Protección de Datos es un Ente de Derecho público, con personalidad jurídica propia y plena capacidad pública y privada, que actúa con plena independencia de las Administraciones Públicas en el ejercicio de sus funciones. Se regirá por lo dispuesto en la presente Ley y en un Estatuto propio, que será aprobado por el Gobierno.



2. En el ejercicio de sus funciones públicas, y en defecto de lo que dis-ponga la presente Ley y sus disposiciones de desarrollo, la Agencia de Protección de Datos actuará de conformidad con la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común. En sus adquisiciones patri-moniales y contratación estará sujeta al Derecho privado.

3. Los puestos de trabajo de los órganos y servicios que integren la Agen-cia de Protección de Datos serán desempeñados por funcionarios de las Administraciones Públicas y por personal contratado al efecto, se-gún la naturaleza de las funciones asignadas a cada puesto de trabajo. Este personal está obligado a guardar secreto de los datos de carácter personal de que conozca en el desarrollo de su función.

4. La Agencia de Protección de Datos contará, para el cumplimiento de sus fines, con los siguientes bienes y medios económicos:

a) Las asignaciones que se establezcan anualmente con cargo a los Presupuestos Generales del Estado.

b) Los bienes y valores que constituyan su patrimonio, así como los productos y rentas del mismo.

c) Cualesquiera otros que legalmente puedan serle atribuidos.

5. La Agencia de Protección de Datos elaborará y aprobará con carácter anual el correspondiente anteproyecto de presupuesto y lo remitirá al Gobierno para que sea integrado, con la debida independencia, en los Presupuestos Generales del Estado.

3.5.2. EL DIRECTOR (ARTÍCULO 36)

1. El Director de la Agencia de Protección de Datos dirige la Agencia y ostenta su representación. Será nombrado, de entre quienes compo-nen el Consejo Consultivo, mediante Real Decreto, por un período de cuatro años.

2. Ejercerá sus funciones con plena independencia y objetividad, y no es-tará sujeto a instrucción alguna en el desempeño de aquéllas. En todo caso, el Director deberá oír al Consejo Consultivo en aquéllas propues-tas que éste le realice en el ejercicio de sus funciones.

3. El Director de la Agencia de Protección de Datos sólo cesará antes de la expiración del período a que se refiere el apartado 1 a petición propia o por separación acordada por el Gobierno, previa instrucción de expe-



diente, en el que necesariamente serán oídos los restantes miembros del Consejo Consultivo, por incumplimiento grave de sus obligaciones, incapacidad sobrevenida para el ejercicio de su función, incompatibili-dad o condena por delito doloso.

4. El Director de la Agencia de Protección de Datos tendrá la conside-ración de alto cargo y quedará en la situación de servicios especiales si con anterioridad estuviera desempeñando una función pública. En el supuesto de que sea nombrado para el cargo algún miembro de la carrera judicial o fiscal, pasará asimismo a la situación administrativa de servicios especiales.

3.5.3. FUNCIONES (ARTÍCULO 37)

1. Son funciones de la Agencia de Protección de Datos:

a) Velar por el cumplimiento de la legislación sobre protección de da-tos y controlar su aplicación, en especial en lo relativo a los dere-chos de información, acceso, rectificación, oposición y cancelación de datos.

b) Emitir las autorizaciones previstas en la Ley o en sus disposiciones reglamentarias.

c) Dictar, en su caso y sin perjuicio de las competencias de otros órga-nos, las instrucciones precisas para adecuar los tratamientos a los principios de la presente Ley. d) Atender las peticiones y reclama-ciones formuladas por las personas afectadas.

e) Proporcionar información a las personas acerca de sus derechos en materia de tratamiento de los datos de carácter personal.

f) Requerir a los responsables y los encargados de los tratamientos, previa audiencia de éstos, la adopción de las medidas necesarias para la adecuación del tratamiento de datos a las disposiciones de esta Ley y, en su caso, ordenar la cesación de los tratamientos y la cancelación de los ficheros, cuando no se ajuste a sus disposicio-nes.

g) Ejercer la potestad sancionadora en los términos previstos por el Título VII de la presente Ley.



h) Informar, con carácter preceptivo, los proyectos de disposiciones generales que desarrollen esta Ley.

i) Recabar de los responsables de los ficheros cuanta ayuda e infor-mación estime necesaria para el desempeño de sus funciones.

j) Velar por la publicidad de la existencia de los ficheros de datos con carácter personal, a cuyo efecto publicará periódicamente una rela-ción de dichos ficheros con la información adicional que el Director de la Agencia determine.

k) Redactar una memoria anual y remitirla al Ministerio de Justicia.

l) Ejercer el control y adoptar las autorizaciones que procedan en re-lación con los movimientos internacionales de datos, así como des-empeñar las funciones de cooperación internacional en materia de protección de datos personales.

m) Velar por el cumplimiento de las disposiciones que la Ley de la Función Estadística Pública establece respecto a la recogida de datos estadísticos y al secreto estadístico, así como dictar las ins-trucciones precisas, dictaminar sobre las condiciones de seguri-dad de los ficheros constituidos con fines exclusivamente estadís-ticos y ejercer la potestad a la que se refiere el artículo 46.

n) Cuantas otras le sean atribuidas por normas legales o reglamen-tarias.

2. Las resoluciones de la Agencia de Protección de Datos se harán públi-cas, una vez hayan sido notificadas a los interesados. La publicación se realizará preferentemente a través de medios informáticos o telemáti-cos. Reglamentariamente podrán establecerse los términos en que se lleve a cabo la publicidad de las citadas resoluciones. Lo establecido en los párrafos anteriores no será aplicable a las resoluciones referentes a la inscripción de un fichero o tratamiento en el Registro General de Protección de Datos ni a aquéllas por las que se resuelva la inscripción en el mismo de los Códigos tipo, regulados por el artículo 32 de esta Ley Orgánica. (Artículo 82.1 Ley 62/2003, de 30 de diciembre)

3.5.4. CONSEJO CONSULTIVO (ARTÍCULO 38)

El Director de la Agencia de Protección de Datos estará asesorado por un Consejo Consultivo compuesto por los siguientes miembros:

* Un Diputado, propuesto por el Congreso de los Diputados.



* Un Senador, propuesto por el Senado.

* Un representante de la Administración Central, designado por el Gobier-no.

* Un representante de la Administración Local, propuesto por la Federa-ción Española de Municipios y Provincias.

* Un miembro de la Real Academia de la Historia, propuesto por la misma.

* Un experto en la materia, propuesto por el Consejo Superior de Univer-sidades.

* Un representante de losusuarios y consumidores, seleccionado del modo que se prevea reglamentariamente.

* Un representante de cada Comunidad Autónoma que haya creado una Agencia de Protección de Datos en su ámbito territorial, propuesto de acuerdo con el procedimiento que establezca la respectiva Comunidad Autónoma.

* Un representante del sector de ficheros privados, para cuya propuesta se seguirá el procedimiento que se regule reglamentariamente.

* El funcionamiento del Consejo Consultivo se regirá por las normas regla-mentarias que al efecto se establezcan.

3.5.5. EL REGISTRO GENERAL DE PROTECCIÓN DE DATOS (ARTÍCULO 39)

1. El Registro General de Protección de Datos es un órgano integrado en la Agencia de Protección de Datos.

2. Serán objeto de inscripción en el Registro General de Protección de Datos

a) Los ficheros de que sean titulares las Administraciones Públicas.

b) Los ficheros de titularidad privada.

c) Las autorizaciones a que se refiere la presente Ley.

d) Los códigos tipo a que se refiere el artículo 32 de la presente Ley.



e) Los datos relativos a los ficheros que sean necesarios para el ejer-cicio de los derechos de información, acceso, rectificación, cance-lación y oposición.

3. Por vía reglamentaria se regulará el procedimiento de inscripción de los ficheros, tanto de titularidad pública como de titularidad privada, en el Registro General de Protección de Datos, el contenido de la inscripción, su modificación, cancelación, reclamaciones y recursos contra las reso-luciones correspondientes y demás extremos pertinentes.

3.5.6. POTESTAD DE INSPECCIÓN (ARTÍCULO 40)

1. Las autoridades de control podrán inspeccionar los ficheros a que hace referencia la presente Ley, recabando cuantas informaciones precisen para el cumplimiento de sus cometidos. A tal efecto, podrán solicitar la exhibición o el envío de documentos y datos y examinarlos en el lugar en que se encuentren depositados, así como inspeccionar los equipos físicos y lógicos utilizados para el tratamiento de los datos, accediendo a los locales donde se hallen instalados.

2. Los funcionarios que ejerzan la inspección a que se refiere el apartado anterior tendrán la consideración de autoridad pública en el desempeño de sus cometidos. Estarán obligados a guardar secreto sobre las infor-maciones que conozcan en el ejercicio de las mencionadas funciones, incluso después de haber cesado en las mismas.

3.5.7. ÓRGANOS CORRESPONDIENTES DE LAS COMUNIDADES AUTÓNOMAS (ARTÍCULO 41)

1. Las funciones de la Agencia de Protección de Datos reguladas en el artículo 37, a excepción de las mencionadas en los apartados j), k) y l), y en los apartados f) y g) en lo que se refiere a las transferencias interna-cionales de datos, así como en los artículos 46 y 49, en relación con sus específicas competencias serán ejercidas, cuando afecten a ficheros de datos de carácter personal creados o gestionados por las Comuni-dades Autónomas y por la Administración local de su ámbito territorial, por los órganos correspondientes de cada Comunidad, que tendrán la consideración de autoridades de control, a los que garantizarán plena independencia y objetividad en el ejercicio de su cometido.



2. Las Comunidades Autónomas podrán crear y mantener sus propios registros de ficheros para el ejercicio de las competencias que se les reconoce sobre los mismos.

3. El Director de la Agencia de Protección de Datos podrá convocar regu-larmente a los órganos correspondientes de las Comunidades Autóno-mas a efectos de cooperación institucional y coordinación de criterios o procedimientos de actuación. El Director de la Agencia de Protección de Datos y los órganos correspondientes de las Comunidades Autóno-mas podrán solicitarse mutuamente la información necesaria para el cumplimiento de sus funciones.

3.5.8. FICHEROS DE LAS COMUNIDADES AUTÓNOMAS EN MATERIA DE SU EXCLUSIVA COMPETENCIA (ARTÍCULO 42)

1. Cuando el Director de la Agencia de Protección de Datos constate que el mantenimiento o uso de un determinado fichero de las Comunidades Autónomas contraviene algún precepto de esta Ley en materia de su exclusiva competencia podrá requerir a la Administración correspon-diente que se adopten las medidas correctoras que determine en el plazo que expresamente se fije en el requerimiento.

Si la Administración Pública correspondiente no cumpliera el requerimiento formulado, el Director de la Agencia de Protección de Datos podrá impugnar la resolución adoptada por aquella Administración.

3.6. INfRACCIONES y SANCIONES (TíTuLO VII)

En los centros sanitarios, ya sean públicos o privados, la importancia del cumplimiento de la normativa sobre protección de datos personales es funda-mental para evitar la comisión de infracciones que llevan aparejadas sanciones.

Recientes reformas han modificado parcialmente la LOPD. Concretamente, el artículo 44 referido al concepto de infracciones leves, graves y muy graves; el artículo 45 referido a las cuantías de las sanciones y los criterios de graduación. En el mismo artículo se crea el apartado 6 que faculta al órgano sancionador a la sanción de apercibimiento, por parte del órgano sancionador. Finalmente, se da nueva redacción a los apartados 1 a 3 del artículo 46, referidos a las infracciones de las Administraciones públicas, y se modifica el artículo 49, que se refiere a la potestad de inmovilización de ficheros. Estas mismas reformas eliminan las



referencias al Director de la AEPD, siendo sustituidas por la expresión “órgano sancionador”.

De acuerdo con el artículo 43 LOPD, tanto los responsables de los ficheros como los encargados de los tratamientos estarán sujetos al régimen sancionador establecido en la presente Ley.

Podemos diferenciar entre tres tipos de infracciones las cuales se clasifican en leves (art.44.2 LOPD), graves (art.44.3 LOPD) y muy graves (art.44.4 LODP), según lo dispuesto en el artículo 44 de la LOPD.

Hay que destacar que los diferentes tipos de sanciones varían en función de que se traten las infracciones leves, graves y muy graves. Según lo dispuesto en el artículo 45 de la LOPD, se establecen los siguientes importes: Infracción leve (De 900 a 40.000€), Infracción grave (De 40.001 a 300.000€) y de Infracción muy grave (De 300.001 a 600.000€).

Según lo dispuesto en el artículo 47.1 y 47.4 de la LOPD, teniendo en cuen-ta la prescripción de las infracciones y sanciones, los plazos varían según el tipo de infracción o sanción. Leve (1 año), Grave (2 años) y Muy grave (3 años).

El plazo de prescripción comienza a contar desde el día que se hubiera cometido la infracción (artículo 47.2 LOPD). No obstante, la prescripción de las infracciones se interrumpe por la iniciación, con conocimiento del interesado, del procedimiento sancionador, reanudándose el plazo de prescripción si el expe-diente sancionador estuviere paralizado durante más de seis meses por causas no imputables al presunto infractor (artículo 47.3 LOPD).

En el caso de las sanciones, el plazo de prescripción se inicia desde el día siguiente a aquel en que adquiera firmeza la resolución por la que se impone la sanción. (Artículo 47.5 LOPD). No obstante, la prescripción de las sanciones se interrumpirá por la iniciación, con conocimiento del interesado, del procedimien-to de ejecución, volviendo a transcurrir el plazo si el mismo está paralizado duran-te más de seis meses por causa no imputable al infractor (artículo 47.6 LOPD).

Dentro de los criterios de graduación es necesario que para cada sanción, se le imponga a una organización que se gradúe dicha sanción en función del criterio de proporcionalidad. Los criterios para la graduación de la sanción vienen detallados en el artículo 45.4 LOPD.

El legislador posibilita al órgano sancionador al establecimiento de la cuantía de la sanción, permitiéndole aplicar a una infracción la sanción que correspon-dería a la infracción inmediatamente anterior, considerando su gravedad (art. 5 LOPD)



Se ha establecido un apartado en el artículo 45, que se refiere a la posibili-dad de apercibimiento al sujeto responsable, por parte del órgano sancionador. El apartado 6 de este artículo establece lo siguiente:

“Excepcionalmente el órgano sancionador podrá, previa audiencia de los interesado y atendida la naturaleza de los hechos y la concurrencia significativa de los criterios establecidos en el apartado anterior, no acordar la apertura del procedimiento sancionador, y en su lugar, apercibir al sujeto responsable a fin de que, en el plazo que el órgano sancionador determine, acredite la adopción de las medidas correctoras que en cada caso resultase pertinentes, siempre que concurran los siguientes presupuestos:

a. Que los hechos fuesen constitutivos de infracción leve o grave confor-me a lo dispuesto en esta Ley.

b. Que el infractor no hubiese sido sancionado o apercibido con anterio-ridad.Si el apercibimiento no fuera atendido en el plazo que el órgano sancionador hubiera determinado procederá la apertura del correspon-diente procedimiento sancionador por dicho incumplimiento”.

Existe un tope legal a la sanción, es decir, queda prohibido establecer una sanción más grave que la fijada en la Ley para la clase de infracción en la que se integre la que se pretendía sancionar (artículo 45.7 LOPD).

Por último, es obligación del Gobierno la actualización periódica de la cuan-tía de las sanciones de acuerdo con las variaciones que experimenten los índices de precios.

3.7. BIBLIOGRAfíA

– htpp/www.unirioja.es/protecciondatos/Manual%20PDUR.pdf

– Constitución Española de 1978 Art 18

– Ley Orgánica 15/1999 de 13 de diciembre, de Protección de Datos de carác-ter personal (LOPD)

– htpp/www.agpd.esa

– Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de Octubre de 1995.

– Carta de los Derechos Fundamentales de la Unión Europea. Art 8

tema 3_ la ley de proteccion de datos personales en el ambito sanitario y sociosanitario (1).pdf

Documents