“El Limbo” de la Protección de Datos de Carácter Personal
Publicado el 22 Enero 2009 por José Luis Rojas
Nuestra primera Ley de protección de datos de carácter personal data del año 1992, la famosa LORTAD, que se centraba en la protección del derecho fundamental ante los tratamientos automatizados. Nuestra segunda Ley de protección de datos personales data del año 1999, la LOPD, que incorpora las directrices marcadas por la Directiva 95/46/CE y abarca la regulación tanto de los tratamientos automatizados como no automatizados o manuales (“ficheros en papel”), habiendo sido objeto de desarrollo reglamentario recientemente mediante RD 1720/2007, de 21 de diciembre (RLOPD). Pues bien, han pasado 17 AÑOS desde que se dictaron las primeras normas de protección de datos que obligan a las empresas, profesionales liberales, administraciones y organismos públicos, asociaciones, fundaciones, etc al cumplimiento de determinados principios y derechos y todavía estamos en “pañales” como diría un castizo.
Las organizaciones de todo tipo apuntadas anteriormente no inscriben sus ficheros de datos personales en el Registro General de Protección de Datos (RGPD), habilitado para dar publicidad a los ficheros y tratamientos y que los ciudadanos sepamos ante quien y donde ejercitar nuestros derechos de acceso, rectificación, cancelación y oposición. Cuando nos recaban datos a través de formularios no se informa en la extensión marcada por la LOPD en su artículo 5 del tratamiento de datos que se va a efectuar, de todas las finalidades del tratamiento. Muchas veces se recaban datos que son excesivos para las finalidades determinas, explícitas y legítimas que a la postre no se informan. Datos como que si tienes hermanos y que estudios tienen, donde trabaja tu padre, cuales son tus aficiones o estilos de vida, si estás casado o soltero, etc. Y para colmo los datos personales recabados son cedidos sin consentimiento del interesado (la persona física titular de los datos personales) a diferentes empresas o entidades con personalidad jurídica distinta, simplemente porque pertenecen al mismo grupo y el propietario o accionista es la misma persona.
Existen cantidad de sectores públicos, económicos, sociales y profesionales que todavía no saben que existe la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD). Bueno, le sueña un poco por las noticias que han aparecido en la tele sobre videos colgados en You Tube por los que la Agencia Española de Protección de Datos ha abierto inspecciones. Pongamos un botón de muestra: las COMUNIDADES DE PROPIETARIOS y las FEDERACIONES DEPORTIVAS.
Es cierto que las comunidades de propietarios sujetas a la Ley de Propiedad Horizontal tienen que proceder a registrar el fichero de Comunidad en el Registro General de Protección de Datos (RGPD). Para la vida de la comunidad deben realizarse diversos tratamientos con los datos personales de los comuneros y en innumerables ocasiones los datos personales son tratados por un tercero ajeno a la comunidad como es el administrador de fincas. La LOPD exige que para que esa cesión de datos sea legal ha de celebrarse un contrato de protección de datos con el contenido recogido en el artículo 12 LOPD y el Reglamento. En dicho contrato a de constar el Fichero al que el administrador de fincas va a acceder en la prestación de sus servicios. Ese fichero no es otro que el que la Comunidad diligentemente tendría que haber inscrito en el RGPD y que como consecuencia de dicha inscripción tiene asignado un código numérico que lo identifica y que debería de hacerse constar en el contrato de protección de datos personales. Pues bien, esta sencilla actuación legal es una quimera a día de hoy y lo seguirá siendo.
Las FEDERACIONES DEPORTIVAS son otro campo abonado para la vulneración de la protección de los datos personales de las personas federadas. Son numerosas las federaciones deportivas que todavía no han regularizado su situación. Escasas federaciones territoriales correspondientes a los deportes Ajedrez, Tenis de mesa, Boxeo, etc, han procedido a la inscripción de los ficheros de datos de Federados, Nóminas, Personal y Recursos Humanos, etc. Como sabemos la inscripción del fichero es el primer paso para garantizar el derecho fundamental de los interesados pero no la única acción a realizar, pues también han de garantizarse los principios y derechos de la LOPD y, en consecuencia, la existencia de un DOCUMENTO DE SEGURIDAD que recoja las medidas de índole técnica, organizativa y jurídica que evite la pérdida, alteración, tratamiento o acceso no autorizado a los ficheros de datos personales.
Por ejemplo, a fecha de la publicación del presente artículo sólo la Federación Vizcaína de boxeo ha registrado los ficheros de los que es responsable. En el ámbito del tenis de mesa sólo la Federación Española, la Vizcaína y la Andaluza. En el ámbito del Ajedrez sólo la Federación Española, la Vizcaína, la Andaluza y la Aragonesa. ¿Qué ocurre entonces con el resto de Federaciones territoriales y para las distintas disciplinas deportivas? Sencillamente que viven en un LIMBO JURÍDICO, el Limbo de la protección de datos de carácter personal, confiando en que nunca tengan ninguna denuncia por parte del interesado ante la Agencia Española de Protección de Datos. Pero han de saber que la suerte a veces se acaba y entonces como me decía mi padre “siéntate y llora”.
Junio 30th, 2009 at 8:58
Estimado José Luis
Como integrante hasta hace bien poco de un Comité Disciplinario de una Federación Deportiva,– actualmente en la comisión electoral de la misma, y preocupado por tanto por la materia de la protección de datos personales con relación a la imposición de sanciones, he de manifestarte, que a veces cuesta salir del limbo del que nos hablas; me explicaré: el informe 131/04 de la Agencia Española de Protección de Datos, relativo a la naturaleza de los ficheros de las Federaciones Deportivas,( entiendo que extrapolable al resto de federaciones autonómicas – pese a que la consulta lo era con referencia a federaciones de la comunidad de Madrid); viene a sostener en síntesis que:
“Teniendo en cuenta el tenor del precepto transcrito, cabe concluir que no se encontrarán sometidos a lo dispuesto en el artículo 41.1 de la Ley Orgánica 15/1999, y en consecuencia al ámbito de aplicación de la Ley 8/2001 los tratamientos efectuados por las federaciones deportivas de ámbito no superior al de la Comunidad de Madrid, habida cuenta de su naturaleza jurídico privada. El ejercicio “por delegación” de determinadas competencias en su condición de “agente colaborador” de las Administraciones competentes no permite considerar a las Federaciones ni como entes públicos ni como corporaciones de derecho público”
Lo cual no deja de ser absolutamente correcto, pero entiendo no resuelve el carácter o naturaleza de los ficheros, que creo – en mi humilde entender - debería haberse resuelto con arreglo a los mismos criterios que con relación a las Cámaras de Comercio.
Todo ello teniendo en cuenta, fundamentalmente – como muy bien dice el informe, el ejercicio de las potestades disciplinarias “por delegación de la administración” siendo sus actos fiscalizables en vía administrativa, y subsiguiente contencioso-administrativa – siendo en tal caso la Ley estatal del Deporte de 1990, Ley 10/1990, de 15 de octubre, siguiendo la pauta marcada por la decisiva sentencia del Tribunal Constitucional de 24 de mayo de 1985, se decantó definitivamente por la naturaleza asociativa privada de las Federaciones deportivas, no obstante lo cual, delegó en ellas el ejercicio de determinadas funciones públicas, en cuyos supuestos actuarían como agentes colaboradores de la administración pública.
Y es en ese ejercicio, donde veo el problema, dado que en el mismo (función delegada de la potestad disciplinaria) se establece la necesidad de contar con un registro de sancionados al objeto de establecer la concurrencia de circunstancias atenuantes o agravantes – y sin duda alguna dicho registro de “antecedentes” supone la existencia de “datos de carácter personal relativos a infracciones administrativas”, y de acuerdo con el artículo 7,5 de la LOPD:
“5. Los datos de carácter personal relativos a la comisión de infracciones penales o administrativas sólo podrán ser incluidos en ficheros de las Administraciones Públicas competentes en los supuestos previstos en las respectivas normas reguladoras”.
Desde mi modesto entender, creo que los ficheros de las federaciones deportivas con relación al registro de sanciones o infracciones en materia disciplinaria (con independencia de que exista o no agencia de protección de datos de carácter autonómico) deberían ser considerados ficheros de titularidad pública, y debería ser la propia administración pública quien habilitara el decreto o norma correspondiente de creación, todo ello en garantía no solo de los infractores sino del propio funcionamiento federativo, y en aras a un exacto cumplimiento de la propia LOPD. Entiendo que podrían habilitarse procedimientos de habilitación de dichos ficheros entre las correspondientes autoridades autonómicas y los entes federativos.
En caso contrario, existirían ficheros que contienen “infracciones administrativas” – de ello no hay duda alguna – que vulnerarían la propia ley, el tenor del apartado 5 no deja lugar a la duda. Hasta la fecha no me consta ningún fichero declarado en tal sentido.
Sin otro particular, y en la confianza de debatir la materia, sin confrontación alguna, recibe un cordial saludo
Febrero 23rd, 2010 at 15:43
Tengo una pregunta, un federacion territorial puede obligar a un club a dar los datos de los alumnos que federa dicho club(evidentemente nombre, fecha de nacimiento y dni si, pero otros como telefono, nombre de sus padres, colegio donde estudia, direccion, etc…)sin hacer referencia a ninguna ley de pd?
y puede solicitarle datos de alumnos federados 5 años atras?
Febrero 24th, 2010 at 17:37
En referencia a la cuestion que plantea el usuario Ramon, entiendo que estamos ante el supuesto de que determinados socios de un club que estan federados en la federación territorial a la que corresponde, se quieren inscribir en algún curso formativo a dar por dicha Federación, siendo dicha Federación la que solicita del Club determinados datos de los socios-alumnos que se inscriben.
Entiendo que los Clubs y la Federación territorial tienen personalidad jurídica propia, en consecuencia, cada organización (sea Club, Federación, asociación, etc) tiene que cumplir con los principios y derechos de la Ley Orgánica de Protección de Datos (LOPD), detacando el cumplimiento por cada entidad del principio de información en la recogida de los datos de carácter personal en los términos recogidos en el artículo 5 de la LOPD. Está claro que respecto de la Federación territorial la finalidad principal al recabar datos de los socios de los Clubs es la participación en las competiciones regulares de dicha federación y gestión del censo de federados. El inscribirse a un curso de formación entiendo que es una finalidad distinta de la finalidad principal y debe ser convenientemente informada y contar con el consentimiento de los afectados.
En la recogida de datos personales debe observarse el principio de calidad de datos del artículo 4 de la LOPD conforme al cual los datos que se recaben deben ser adecuados, pertinentes y no excesivos para las finalidades determinas, explícitas y legítimas para los que dichos datos van a ser objeto de tratamiento.
En consecuencia, recabar de los socios-alumnos el dato del colegio donde estudian, profesión del padre, nombre y apellidos de los hermanos, etc, está claro que exceden de la finalidad de impartición del curso fomativo de la federación.
Respecto a si puede solictarse datos de alumnos federados 5 años atras, la pregunta es ambigua. ¿Con que finalidad se solicitan esos datos por la federación si el socio-alumno no se ha inscrito personalmente al curso? En este caso habrá que tener en cuenta el principio de la cancelación de datos personales, conforme al cual los datos personales recabados deberan ser cancelados una vez terminada la finalidad para la que fueron recabados.
Junio 6th, 2010 at 10:08
Estimado Jose Luis:
en mi club y federación de golf, un socio se dedica a presentar cartas con acusaciones e insultos a otros socios y federados. Yo he pedido que se me entreguen las relativas a mi y mi familia, para poder defenderme, y el club y la federación, que tienen el mismo asesor jurídico, socio de mi club y amigo del que escribe las cartas, me dicen que no lo pueden hacer en virtud de la LOPD.
¿Es esto correcto? ¿Qué podemos hacer los perjudicados para defendernos de las graves acusaciones que vierten sobre nosotros?
Junio 18th, 2010 at 11:44
Estimada Almudena,
En primer lugar disculpa mi retraso en contestarte.
Si sabes de que te acusa este socio y los insultos que ha vertido sobre tu persona puedes querellarte contra esta persona. Al ser parte acusadora en el procedimiento penal que se abre podrás pedirle al Juez que requiera al club de golf para que envíe las cartas ofensivas al Juzgado. Creo que es la única vía que tienes para acceder a las cartas, porque si ejercitas un derecho de acceso a tus datos personales el Club te va a contestar que tiene sólo datos correspondientes a tu inscripción y los generados por esa relación de socio.
Un saludo