Acreditación del deber de información

735

Hace algunos meses el Tribunal Supremo anuló varios artículos del Reglamento de la Ley Orgánica de Protección de Datos (LOPD), entre ellos el 18, que hace referencia a la acreditación del cumplimiento del deber de información. Tras esta anulación aparece la duda sobre si resulta suficiente y adecuado la conservación de los documentos que prueban el cumplimiento del deber de información así como la obtención del consentimiento del interesado, mediante su escaneo, sustituyendo los documentos físicos por un soporte informático.

A esta cuestión viene a responder el Informe 0361/2010 (actualización: este informe ha desaparecido de la base de datos de la AEPD) del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD).

La AEPD explica que la citada anulación implica que rige el principio de libertad de forma, tanto para la prueba de la obtención del consentimiento del interesado, como para la acreditación del cumplimiento del deber de información al mismo. No obstante, el hecho de que dicho precepto haya sido anulado por entender el Tribunal Supremo que establece “ex novo” al margen de la Ley, una obligación adicional, no invalida la adecuación del procedimiento a que hace referencia la consulta a efectos de prueba, de manera que si bien el consultante podrá demostrar por cualquier medio de prueba admisible en derecho el cumplimiento de ambos deberes, el escaneado de los documentos que así lo acrediten constituyen un medio válido y apropiado de prueba.

No obstante, si se procede a la sustitución de los documentos originales en papel por un soporte informático, será preciso acreditar, en su caso, que en el proceso de automatización aquéllos no han sido alterados. ¿Y cómo demostrarlo en el caso de encargar a un tercero el escaneado de la documentación y la destrucción de los documentos en papel?

Explica la AEPD que ya que se trataría de una relación entre responsable del fichero y un encargado del tratamiento deberá estar regulada por un contrato redactado en los términos que exige el artículo 12 de la LOPD.

Por consiguiente, al responsable incumbe un deber de diligencia tanto con carácter previo a la celebración del contrato, como a lo largo de la vigencia de éste para garantizar la seguridad de los datos, no obstante, las certificaciones a que hace referencia la consulta, tanto de protección como de destrucción de la documentación en soporte papel, no constituyen un requerimiento de la normativa de protección de datos, por lo que no resultan exigibles, sin perjuicio de que el consultante, pueda imponerlas en el contrato como medidas adicionales de control del proceso que se lleva a cabo.

Debe asimismo recordarse, y así debe figurar en el contrato, que al término de la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento. En el presente supuesto, sin embargo, el encargado del tratamiento deberá, de una parte, devolver los datos en un soporte diferente a aquél en que le fueron entregados y, de otra, proceder a la destrucción del soporte papel original, ya que en ello consiste precisamente la prestación contractual.

El incumplimiento de esta previsión llevará aparejada la consecuencia, prevista en el artículo 12.4 de la LOPD, de que “En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado, también, responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente”.

Vota este artículo

2 Comentarios

  1. Hola Jesús, muy interesante entrada…

    Me surge una gran duda de la lectura del comentario sobre el informe:

    Se afirma: “…No obstante, si se procede a la sustitución de los documentos originales en papel por un soporte informático, SERÁ PRECISO ACREDITAR, en su caso, que en el proceso de automatización aquéllos no han sido alterados”… o sea, que habrá que certificar la digitalización mediante algún proceso homologado, que según tengo entendido, a fecha de hoy, solo existe en el ámbito fiscal… ¿Cómo se hace ésto?

    Y como reflexión final, resalta el informe:”…las certificaciones a que hace referencia la consulta, tanto de protección como de destrucción de la documentación en soporte papel, no constituyen un requerimiento de la normativa de protección de datos, por lo que no resultan exigibles, sin perjuicio de que el consultante, pueda imponerlas en el contrato como medidas adicionales de control del proceso que se lleva a cabo.” ¿Solo me parece a mí un poco “raro” que este aspecto, vital para la real protección de datos y evitar posible fugas de datos, le resulte indiferente a la Agencia mientras demuestra su “reincidente” preocupación por que una viuda quite su cámara falsa de la terraza?

    Un saludo y gracias por la entrada.

    Luis Salvador Montero

  2. Gracias Luis por tu comentario.

    El asunto de la acreditación de la no alteración en un proceso digital efectivamente no está desarrollado en forma de requerimientos concretos. Entiendo que es el problema de cualquier legislación sobre tecnología: los ritmos son distintos. Imagina que una exigencia de 2008 puede resultar ridícula en 2012 por los cambios en el desarrollo tecnológico, así que este sería una caso más de “libertad de prueba”.

    Respecto a la segunda cuestión, más que resultar indiferente, yo diría que la Agencia se limita a repetir el literal de la ley, donde efecivamente no se dice nada al respecto. Se supone que este aspecto debe quedar suficientemente cubierto por el contrato a firmar según el art. 12 LOPD, pero de todas formas ya la Agencia añade que “sin perjuicio de que el consultante, pueda imponerlas en el contrato como medidas adicionales de control del proceso que se lleva a cabo.”

Dejar respuesta