miércoles, 13 de mayo de 2009

Recomendaciones de la Agencia de Protección de Datos de la Comunidad de Madrid durante el 2008

La Agencia de Protección de Datos de la Comunidad de Madrid, al igual que la Agencia Estatal, encuentran entren sus funciones la de dictar instrucciones y recomendaciones de adecuación de los tratamientos de protección de datos, así como en materia de seguridad y de control de acceso a ficheros.
Iciar López-Vidriero Tejedor, Socia y Abogada de ICEF Consultores

Productos recomendados
Le recomendamos que utilice un buen CRM para conseguir una perfecta sincronización con sus clientes.
Resumen:
Desde la publicación de la Ley 8/2001 de Protección de Datos de la Comunidad de Madrid, se han ido publicando diversas recomendaciones a partir del año 2004 acerca de distintos sectores y tratamientos, como los de salud, custodia y archivo, utilización y tratamiento del padrón municipal, historias clínicas no informatizadas, etc.

Si desea más información puede consultar el Manual Práctico de Protección de Datos para Empresas
A través del presente artículo vamos comentar las tres recomendaciones dictadas por la Agencia de Protección de Datos de la Comunidad de Madrid durante el año 2008, si bien desarrollaremos la Recomendación 2/2008, para en siguientes artículos desarrollar las otras dos recomendaciones:

- Recomendación 1/2008, sobre tratamiento de datos personales en los Servicios Sociales de la Administración de la Comunidad de Madrid y en los Servicios Sociales de los Entes Locales de la Comunidad de Madrid.

- Recomendación 2/2008, sobre publicación de datos personales en boletines y diarios oficiales en Internet, en sitios web institucionales y en otros medios electrónicos y telemáticos.

- Recomendación 3/2008, sobre tratamiento de datos de carácter personal en servicios de administración electrónica.

Recomendación 1/2008, sobre tratamiento de datos personales en los Servicios Sociales de la Administración de la Comunidad de Madrid y en los Servicios Sociales de los Entes Locales de la Comunidad de Madrid.

Esta recomendación nace tras la inspección sectorial que llevó a cabo la Agencia de Protección de Datos de la Comunidad de Madrid a 12 organismos locales y regionales de Servicios Sociales de la Comunidad de Madrid, destacando la sensibilidad de la mayoría de estos ficheros, al recabar éstos datos de salud como el grado de minusvalía.

Con la redacción de la presente recomendación se intenta dar respuesta a la mayoría de preguntas realizadas por estos órganos y facilitar con ello, el cumplimiento de la normativa de protección de datos personales 15/99, así como el nuevo Reglamento de desarrollo 1720/2007, destacando que ésta es la primera norma que recoge supuestos específicos del Nuevo Reglamento.

Recomendación 2/2008, sobre publicación de datos personales en boletines y diarios oficiales en Internet, en sitios web institucionales y en otros medios electrónicos y telemáticos.

Cabe destacar de esta recomendación, al igual que en la anterior, la aplicación del nuevo Reglamento 1720/2007, pero sobretodo la longitud del texto, que en ningún caso es imperativo legal sino sólo programático, ya que incluye un apartado específico de supuestos concretos de publicación en Boletines y Diarios Oficiales, en sitios web institucionales y en otros canales electrónicos y telemáticos administrativos, lo que hace que el texto de la presente recomendación sea de especial interés y ante todo práctico.

Si bien el título de la recomendación hace expresa mención a la publicación de Boletines y Diarios en Internet, la aplicación de la recomendación da un paso más y comprende, de igual forma, la publicación de datos personales realizada a través de soportes físicos en cualquier formato, constitutivos de impresiones, ediciones, reproducciones, etc., siempre y cuando éstos y/o los electrónicos sean publicados por la Asamblea de Madrid y de más instituciones y/u órganos de la Administración Pública de la Comunidad de Madrid.

Queremos resaltar algunos de los puntos más interesantes de la presente recomendación, si bien sugerimos al lector realice una lectura completa del texto.
- Serán los responsables del tratamiento las Administraciones Públicas u órganos administrativos que ordenen la inserción de textos en el Boletín o Diario Oficial.
- No será necesario el consentimiento previo del ciudadano afectado siempre y cuando la publicación se fundamente en uno de los supuestos admitidos por la Ley 30/92 —Régimen Jurídico de las Administraciones Públicas—, por una norma con rango de Ley, a una norma comunitaria o a la libre aceptación de una relación jurídica que implique necesariamente la publicación de los mismos. Para cualquier otro caso no recogido, se hará necesario el consentimiento previo del afectado.
- Siempre deberá respetarse el principio de calidad, el derecho de información en la recogida de datos y en la aplicación de las medidas de seguridad necesarias.
- Cuando no rija el principio de publicidad se facilitará el acceso individual del ciudadano, ya sea por área restringida, firma electrónica avanzada u otros medios.
- El acceso a los tablones de anuncios electrónicos deberá verificarse a través de consulta identificada del interesado, utilizando cualquiera de los medios expuestos en el punto anterior.
- Sólo se publicarán aquellos datos personales que sean imprescindibles para la finalidad pretendida.
- Se recomienda que no se publiquen datos de salud, vida sexual, fines policiales, menores de edad, comisión de infracciones, personalidad del afectado y relacionados con el ejercicio tributario a no ser que haya una norma con rango de Ley o normativa comunitaria que haga habilitación expresa a la publicación de los mismos.
- Cuando la finalidad de la publicación sea meramente estadística o histórica se deberá disociar la información de carácter personal.
- La cancelación de datos sólo procederá cuando éstos hayan dejado de ser necesarios o pertinentes para la finalidad para la cual fueron recabados.
- La cancelación de oficio no requerirán comunicación alguna al afectado.
- El bloqueo de datos deberá mantenerse mientras persista algún tipo de responsabilidad derivada.
-Los motores de búsqueda no deberán sobrepasar un periodo de 6 meses de conservación de los datos personales de los usuarios, ya sea por indexación automática como por obtención de búsqueda por datos personales.
- Se deberá permitir el ejercicio de derechos —acceso, rectificación, cancelación y oposición— de los afectados.
Estos son a grandes rasgos los puntos más importantes de la presente recomendación, si bien volvemos a incidir en la interesante redacción del texto, puesto que incluye supuestos concretos dándose respuesta a todos ellos:
http://www.madrid.org/cs/Satellite?blobcol=seccionpdf&blobheader=application%2Fpdf&blobkey=id&blobtable=CM_Seccion_BOCM&blobwhere=1142489423428&ssbinary=true

Recomendación 3/2008, sobre tratamiento de datos de carácter personal en servicios de administración electrónica.

La presente recomendación trata de concretar los principios y derechos de protección de datos a los servicios de Administración electrónica, en especial, lo referente a la política de privacidad, suscripción de noticias y servicios de alertas SMS, cookies, suscripción a bolsas de empleo, “chats” institucionales, procesos de participación electrónica y foros de opinión.
Resulta éste un texto muy interesante que resuelve dudas planteadas por diversos organismos de la Administración Pública de la Comunidad de Madrid, ofreciendo de esta forma un respaldo a la hora del tratamiento de datos de carácter personal.