FAQS - Preguntas frecuentes
La Autoridad Vasca de Protección de Datos (AVPD) es una autoridad de control independiente, con personalidad jurídica propia y plena capacidad pública y privada. Actúa con plena independencia de las administraciones públicas en el ejercicio de sus funciones, velando por que se garantice un tratamiento adecuado de los datos personales por parte de las Administraciones e Instituciones que conforman el sector público vasco. Además, controla y supervisa el uso que de los datos personales hacen las personas físicas o jurídicas cuando el tratamiento se lleva a cabo para el ejercicio de funciones públicas en materias que son competencia de las administraciones públicas o las entidades de derecho privado que prestan servicios públicos mediante cualquier forma para las mismas.
La AVPD atiende consultas relacionadas con la protección de datos personales y participa en acciones de difusión y formación para dar a conocer los derechos reconocidos en la normativa que rige esta materia, aumentar la conciencia pública acerca del valor de la privacidad y fomentar que las Administraciones Públicas Vascas la respeten en su actividad cotidiana.
Para la atención de consultas, la AVPD dispone de diferentes canales de comunicación para el ejercicio de sus funciones.
Corresponde también a la AVPD tutelar los derechos que a las personas les reconoce la normativa de protección de datos personales. Tal como dicta el procedimiento, antes de interponer una reclamación, la persona interesada debe dirigirse al responsable del tratamiento de sus datos para ejercer sus derechos. Si no recibe una respuesta en el plazo establecido (1 mes) o la respuesta recibida no es satisfactoria, podrá interponer una reclamación ante la AVPD.
La normativa de protección de datos permite el ejercicio de una serie de derechos a la ciudadanía, los llamados con anterioridad al nuevo Reglamento Europeo de Protección de Datos como derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) al que actualmente se han añadido nuevos derechos como son el derecho a la limitación del tratamiento, derecho a la portabilidad.
Información sobre los derechos que pueden ejercitarse y cómo hacerlo ante la AVPD
¿Pueden los padres acceder a los datos clínicos de sus hijos menores de 18 años y ejercer sus derechos?
Las personas menores de edad que sean mayores de 14 años y no se hallen en situación de incapacidad, deben poder ejercer los derechos inherentes a la autodeterminación informativa por sí mismas.
Sin embargo, quienes ejerzan su patria potestad o los representantes legales del menor -incluida la de mayores de 14 años-, precisamente por esta condición de representantes legales, pueden acceder a la información del o la menor sin que ello suponga una vulneración de la confidencialidad de la información.
Sin perjuicio de ello, cuando una ley lo prevea o en aquellos casos en que pueda haber un conflicto de intereses entre las madres y padres o representantes legales y el propio menor, el ejercicio de los derechos por parte de aquellos respecto a determinados datos de salud del mismo, puede verse limitado, por aplicación del principio de protección del interés superior de éste, en atención a las circunstancias del caso concreto.
¿Puedo conocer mi historia clínica?
Cualquier persona tiene derecho a acceder a la documentación de su historia clínica y a obtener una copia de los datos que figuran en ella.
Sin embargo, el derecho al acceso del o de la paciente a la documentación de la historia clínica no puede ejercitarse en perjuicio del derecho de terceras personas a la confidencialidad de los datos que constan en ella recogidos en interés terapéutico de la persona atendida, ni en perjuicio del derecho de las y los profesionales participantes en su elaboración, los cuales pueden oponer al derecho de acceso la reserva de sus anotaciones subjetivas.
¿Puedo acceder a la historia clínica de una persona fallecida?
El artículo 18.4 de la Ley 41/2002, de 14 de noviembre, estatal básica reguladora de la Autonomía del Paciente y de Derechos y Obligaciones en Materia de Información y Documentación Clínica, autoriza el acceso a la historia clínica de una persona fallecida a toda persona vinculada a ella por razones familiares o de hecho, salvo que la fallecida o el fallecido lo hubiese prohibido expresamente, estableciéndose en la referida norma que, en cualquier caso, el acceso de una tercera persona a la historia clínica motivada por un riesgo para su salud se limitará a los datos pertinentes.
¿Están seguros los datos de las y los pacientes que constan en la historia clínica?
Tanto el personal médico que ejerce la medicina privada como los centros sanitarios públicos y privados están obligados a aplicar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado, teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas.
En todo caso las medidas de seguridad implementadas han de garantizar la confidencialidad, integridad y disponibilidad de los datos; pudiendo restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico. Las medidas de seguridad incorporadas deben evaluarse periódicamente.
¿Puede acceder cualquier persona a mi historia clínica?
El responsable (normalmente el o la médico, el centro sanitario o la administración sanitaria) y el encargado del tratamiento (los prestadores de servicios externos, como los que realizan análisis de sangre y otras pruebas que se han contratado con terceras entidades, por ejemplo) deben tomar las medidas necesarias para garantizar que cualquier persona que actúe bajo su autoridad y tenga acceso a datos personales solo pueda tratar dichos datos siguiendo sus instrucciones.
Cuando un profesional sanitario accede a una historia clínica debe hacerlo porque es necesario para realizar su trabajo. No es lícito que acceda por curiosidad, para facilitar información de un o una paciente a personas conocidas, venicas...
¿Se pueden ceder los datos de salud a otras entidades diferentes de las que los han recogido y tratado?
Sí, se pueden ceder si existe legitimación para ello. Un ejemplo es cuando se acude a una consulta médica o a un centro sanitario como persona usuaria de la sanidad privada (con la tarjeta de la compañía aseguradora). En este caso, el doctor o la doctora facilita a la entidad la información mínima necesaria para que abone la prestación sanitaria realizada.
¿Se puede informar al empleador acerca de los datos de salud de su plantilla cuando acude a la revisión de prevención de riesgos laborales?
No. La información que se facilita al empleador es si el personal es APTO o NO APTO para el trabajo, o si siendo APTO necesita alguna adaptación; pero no le pueden informar de los resultados de las pruebas médicas de sus trabajadoras y trabajadores.
¿Qué información deben contener los partes de baja? ¿Se deben facilitar a la empresa?
Los partes de baja son emitidos por el facultativo que sigue el proceso de incapacidad, facilitando dos copias del parte: una para la persona empleada y otra para entregar en la empresa donde trabaja.
El parte médico de baja recogerá los datos personales de la persona trabajadora y, además, la fecha de la baja, la contingencia causante, el código de diagnóstico, el código nacional de ocupación de la trabajadora o el trabajador, la duración estimada del proceso y, en su caso, la aclaración de que el proceso es recaída de uno anterior, así como, en este caso, la fecha de la baja del proceso que lo origina.
Asimismo, hará constar la fecha en que se realizará el siguiente reconocimiento médico.
¿Pueden facilitar información telefónica a una persona enferma sobre su estado de salud o el resultado de las pruebas realizadas?
En principio, existiría el riesgo de estar facilitando información a una tercera persona y, por tanto, por motivos de seguridad debería evitarse. Se podría hacer si existiese un protocolo de identificación de la persona solicitante de la información, mediante la solicitud de nombre y apellidos, número de DNI, número de teléfono desde el que llama que coincida con el que facilitó al profesional, dirección de correo electrónico, número de tarjeta sanitaria, etc.
Se debería tener la seguridad de que quien solicita la información es titular de la misma.
¿Puede haber cámaras de videovigilancia en un hospital o en un centro de salud?
Las cámaras de videovigilancia tienen la finalidad de garantizar la seguridad de las personas y de las instalaciones; por tanto, pueden instalarse siempre que se informe de su instalación, habitualmente mediante un cartel informativo.
Se puede solicitar información de las finalidades de las cámaras, tiempo en el que se mantienen las grabaciones, posibilidad de ejercer derechos, y responsable de la instalación. Suelen estar en los lugares de acceso, pasillos, y corredores; no dentro de la consulta médica.
¿Puede informar un centro hospitalario de mi ingreso en el mismo y ubicación?
No. Deben pedir consentimiento a la persona usuaria del servicio o a sus familiares (si no está capacitado) para que se facilite esa información. Para evitar situaciones conflictivas es muy importante que esta información se facilite de forma destacada y haciendo comprender a las y los pacientes sus consecuencias prácticas.
¿Puede solicitar un certificado o un justificante de asistencia médica la persona que acompaña un familiar a un centro sanitario? ¿Qué contenido debe tener éste?
El Estatuto de los trabajadores, en el ámbito privado y el Real Decreto Legislativo 5/2015 en el ámbito de las Administraciones Públicas, legitiman el comunicar información de la paciente o el paciente a la familia o personas vinculadas que soliciten el justificante, con el fin de acreditar ante la empresa el derecho a un permiso retribuido motivado por la operación o enfermedad de una pariente o persona con la que exista una relación de hecho, salvo que ésta se oponga.
Los certificados o los justificantes que emite un centro sanitario deben respetar las exigencias del principio de minimización y sólo deben incluir la información imprescindible para acreditar que concurren las circunstancias que dan derecho a obtener el permiso laboral.
COVID-19:
¿Puede el empleador realizar el tratamiento de datos de salud de un empleado enfermo de COVID-19?
Los datos de salud están categorizados como de especial protección y su tratamiento está, con carácter general, prohibido ( art. 9.1 Reglamento General de Protección de Datos, RGPD), salvo cuando concurra alguna de las circunstancias señaladas en el apartado 2 de ese mismo precepto del Reglamento General de Protección de Datos. Entre esas excepciones previstas en el RGPD figura:
- El consentimiento explícito de la pesona interesada.
- El cumplimiento de obligaciones en el ámbito del Derecho laboral y de la seguridad y protección social.
- Cuando el tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador o la trabajadora, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social.
- La protección del interés público en el ámbito de la salud pública, o la protección de intereses vitales de la persona afectada o de otras.
Esa información también puede ser obtenida mediante preguntas al personal. Sin embargo, las preguntas deberían limitarse exclusivamente a indagar sobre la existencia de síntomas, o si la persona trabajadora ha sido diagnosticada como contagiada, o sujeta a cuarentena. Resultaría contrario al principio de minimización de datos la circulación de cuestionarios de salud extensos y detallados, o que incluyan preguntas no relacionadas con la enfermedad.
En este sentido, se recuerda que La Ley de Prevención de riesgos laborales impone obligaciones a los empleadores y a su personal en materia de prevención de riesgos laborales. De acuerdo con esta ley, la empresa deberá garantizar la seguridad y salud de todos su plantilla, y en el caso de que exista un riesgo grave, estará obligada a informar a las demás personas empleadas de ese riesgo y de las medidas a adoptar, consensuadas con la representación de las y los trabajadores.
Esta información debería proporcionarse sin identificar a la persona afectada a fin de mantener su privacidad, si bien podría transmitirse a requerimiento de las autoridades competentes, en particular las sanitarias. Por ejemplo, si es posible alcanzar la finalidad de protección de la salud del personal divulgando la existencia de un contagio, pero sin especificar la identidad de la persona contagiada, debería procederse de ese modo. Si, por el contrario, ese objetivo no puede conseguirse con información parcial o la práctica es desaconsejada por las autoridades competentes, en particular las sanitarias, podría proporcionarse la información identificativa.
La normativa de protección de datos no debería utilizarse para obstaculizar o limitar la efectividad de las medidas que adopten las autoridades en la lucha contra la pandemia.
Además, la normativa de prevención de riesgos laborales impone también a las trabajadoras y trabajadores la obligación de velar, dentro de sus posibilidades, tanto por su propia seguridad como por la de sus compañeras y compañeros. Ello implica que en un momento de emergencia sanitaria, con un gran riesgo de transmisión de la enfermedad, en el que se hace necesario extremar las medidas para proteger la salud de toda la población, cuando un o una trabajadora tenga síntomas, haya sido confinada o enferme de COVID-19, parece obligado que informe de este extremo a su empresa, al objeto de que implemente las medidas necesarias para proteger su salud y la del resto de su plantilla.
No obstante, en el tratamiento de esa información la empresa deberá respetar los principios exigidos por la normativa de protección de datos (art. 5 RGPD), y en particular la licitud, limitación de la finalidad y el principio de minimización de datos, de manera que los datos tratados habrán de ser exclusivamente los estrictamente necesarios para la legítima finalidad pretendida.
Cualquier injerencia sobre la privacidad de las personas debe someterse a un juicio de necesidad y proporcionalidad, y limitarse en el marco temporal, correspondiendo al responsable del tratamiento (empresa) hacer esa ponderación, evitando la recogida y tratamiento posterior de aquellos datos personales que no resulten imprescindibles para vigilar y proteger la salud de sus trabajadores y contener la propagación del virus.
¿Los centros sanitarios privados de diagnóstico están obligados a comunicar los datos identificativos de las pacientes que hayan sido diagnosticadas como positivos en COVID-19 al Departamento de Salud?
El Real Decreto-ley 21/2020 de 9 de junio, de medidas urgentes de prevención, contención y coordinación para hacer frente a la crisis sanitaria ocasionada por el COVID-19, obliga a los laboratorios públicos y privados autorizados para realizar pruebas de COVID-19, a remitir a las Autoridades Sanitarias los datos de todas las pruebas realizadas (art. 25).
¿Es posible obligar a empleadas y empleados a cumplimentar un formulario que recogerá el nombre, apellidos, firma y la temperatura, que deberá tomarse a diario en su domicilio, para informar posteriormente a la persona responsable del área de prevención de riesgos laborales?
La presentación de esa declaración responsable encuentra amparo legal suficiente en las obligaciones que la ley 31/1995, de 8 de noviembre, de prevención de riesgos laborales impone al empleador en relación con la vigilancia de la salud de los trabajadores (artículos 15 y 22).
CENTROS ESCOLARES NO UNIVERSITARIOS:
CENTROS UNIVERSITARIOS:
CENTROS ESCOLARES NO UNIVERSITARIOS:
PUBLICIDAD
¿Es acorde a la normativa de protección de datos que los centros escolares no universitarios hagan públicas las listas del alumnado admitido?
Sí, por cuanto el centro está obligado a informar de las alumnas y alumnos que han sido admitidos en la medida que la admisión se realiza mediante un procedimiento de concurrencia competitiva en el que se valoran y puntúan determinadas circunstancias.
Ahora bien, la publicidad deberá realizarse de manera que no suponga un acceso indiscriminado de la información, publicando la relación de las personas admitidas en los tablones de anuncios físicos ubicados en el interior del centro o en una página web de acceso restringido a quienes hayan solicitado la admisión.
La publicación de los datos del estudiantado admitido sólo recogerá el resultado final del baremo, no resultados parciales que puedan hacer referencia a datos o información sensible o poner de manifiesto la capacidad económica de las familias. Esa información "parcial" estará disponible para las personas interesadas que hayan tomado parte en el proceso de admisión y tengan intención de reclamar.
Cuando ya no sean necesarios dichos listados, serán retirados sin perjuicio de que se conserven en el centro a fin de atender las reclamaciones que pudieran plantearse.
¿Pueden los centros escolares colocar en los tablones de anuncios o a las puertas de las aulas la relación de alumnas y alumnos por clases y/o actividades?
Sí, siempre que su fin sea dar a conocer al alumnado y a sus madres, padres o tutores esa distribución y sólo durante el tiempo razonable para que todas las personas interesadas estén informadas.
En el caso de que el centro escolar utilice una plataforma para la gestión educativa, es recomendable que cada alumna o alumno, madre, padre o tutor acceda a dicha información mediante el uso de una identificación de usuario y su correspondiente contraseña.
GRABACIÓN DE IMÁGENES, DATOS BIOMÉTRICOS...
¿Se pueden recabar imágenes del estudiantado para el expediente académico sin el consentimiento del mismo o de sus progenitores o tutores?
Sí, siempre que se recaben para el ejercicio de la función docente y orientadora y con el fin de identificar a cada estudiante con su expediente académico.
¿Puede el profesorado en prácticas utilizar datos personales de sus alumnas y alumnos en trabajos propios universitarios?
En este caso deberían disociar los datos de manera que no se pueda identificar a las alumnas y los alumnos, por cuanto en este caso no se estarían tratando los datos para la educación del estudiantado sino para la formación de las y los educadores.
Cabría la posibilidad de que pudiesen utilizar los datos del alumnado sin haberlos previamente disociado si contasen con el consentimiento del mismo o de sus progenitores o guardadores en el caso de tratarse de personas menores de 14 años.
¿A qué expedientes académicos y a qué datos de las personas asistentes al centro escolar pueden acceder las y los docentes?
Cada docente ha de tener acceso al expediente académico de las y los alumnos a los que imparte la clases. No está justificado que acceda a los expedientes de otras personas.
Además, tendrá acceso a la información de salud que sea necesaria para la impartición de la docencia y para garantizar el adecuado cuidado del alumnado. También ha de tener acceso a la información relativa a las alergias, intolerancias alimentarias o a medicación que pudieran requerir para prestarles un cuidado adecuado tanto en el propio centro como en las actividades que realicen fuera y que estén incluidas en su programación docente (excursiones, viajes...).
EVALUACIÓN
A diferencia de lo que sucede en el ámbito universitario, la publicidad de la evaluación del estudiantado no está expresamente regulada, pero es obvio que calificar y comunicar las notas obtenidas entra dentro de la función educativa.
¿Pueden las madres y padres solicitar las calificaciones de sus descendientes mayores de edad?
Si las alumnas y los alumnos fueran mayores de edad (18 años) sus progenitores podrán solicitar el acceso a las calificaciones cuando corrieran con los gastos educativos o de alimentación, por cuanto en este caso existe un interés legítimo de las madres y los padres, derivado del mantenimiento de sus hijas e hijos mayores de edad, en conocer su evolución académica sobre el que no prevalecen los derechos y libertades de éstos.
¿Cómo tiene que ser la información académica en caso de parejas separadas?
De forma general, ambos progenitores tienen derecho a recibir la misma información sobre el proceso educativo de sus hijas e hijos, lo que implica que el centro escolar deberá de remitir por duplicado dicha información, salvo en los casos en los que se aporte una resolución judicial que establezca la privación de la patria potestad a uno de los progenitores o algún tipo de medida penal de prohibición de comunicación con el menor o su familia.
¿Se pueden hacer públicas las calificaciones escolares?
Como regla general las calificaciones se han de facilitar a los propios estudiante, madres y padres o tutores.
En el caso de que se publiquen las calificaciones a través de plataformas educativas, sólo podrán tener acceso a las mismas quienes tengan las credenciales correspondientes para el acceso a la plataforma, alumnos, padres o tutores sin que puedan tener acceso a las mismas personas distintas.
¿Se pueden facilitar datos de estudiantes a otros centros educativos dentro y fuera de la comunidad autónoma?
Sí. En caso de traslado, la Ley Orgánica de Educación permite la comunicación de datos al nuevo centro en el que se haya matriculado la personao sin necesidad de recabar su consentimiento o el de sus madres, padres o tutores.
Para el caso de intercambios o estancias temporales en centros situados fuera de la comunidad autónoma, también estaría justificada la comunicación de datos personales del o la alumna a fin de que ese centro pueda cumplir con su labor docente y gestión administrativa correspondiente. Ahora bien, la transmisión deberá limitarse a los datos que resulten necesarios para el adecuado desarrollo de la acción educativa y para el cuidado del menor o la menor. En estos casos será también necesario la autorización de los titulares de la patria potestad para que la estudiante o el estudiante pueda participar en los programas de intercambio o estancia temporal.
¿Se pueden facilitar los datos del alumnado a la Administración educativa y los Servicios Sociales?
Administración educativa: sí, los centros educativos comunicarán los datos personales de sus estudiantes necesarios para el ejercicio de sus competencias como por ejemplo la expedición de títulos.
Servicios Sociales: sí, siempre que sea para que los Servicios Sociales puedan dar respuesta a una situación de riesgo o desamparo del o la menor. La comunicación de datos personales en este caso estaría amparada en el interés superior del menor recogido en la Ley Orgánica de Protección Jurídica del Menor, sin que fuese por ello necesario el consentimiento de los interesados.
CLASES Y EXÁMENES ONLINE
¿Pueden los centros educativos impartir clases y realizar exámenes online sin el consentimiento de las personas interesadas?
Tanto la impartición de clases como la realización de exámenes online en la enseñanza reglada conlleva un tratamiento de datos que no necesita el consentimiento del alumnado, o de sus madres, padres o tutores, pues está legitimado por la realización de una misión de interés público como es la función educativa, prevista en una norma de rango legal, la Ley Orgánica de Educación (D.A. 23ª); ni tampoco del profesorado, que se debe al cumplimiento de su relación contractual o estatutaria para ejercer la función educativa.
Por su parte, los prestadores de los medios tecnológicos (plataformas, aplicaciones...), en la medida que tratan datos de carácter personal, son encargados del tratamiento por cuenta de los responsables de los datos, que son los centros y las administraciones educativas, dependiendo de la titularidad del centro educativo. Los responsables deben proceder a la elección y contratación de los encargados con la diligencia que exige el RGPD (art. 28). Para esta tarea pueden contar con el asesoramiento de los delegados de protección de datos, que son de designación obligatoria en todos los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación (art. 34.1.b Ley Orgánica 3/2018 de protección de datos personales y garantía de los derechos digitales, LOPDPGDD).
Asimismo, el profesorado, en el ejercicio online de la función educativa, debería utilizar los medios puestos a su disposición por los centros o la Administración educativa responsables del tratamiento de los datos.
¿Qué cautelas se deben adoptar en las clases y exámenes online?
Además de seguir los protocolos, directrices, guías u orientaciones que hayan adoptado los centros o las administraciones educativas, y sin perjuicio de tomar las medidas adecuadas y proporcionadas para el control de las pruebas de evaluación y las clases online, éstas deberán realizarse de la manera menos intrusiva posible para la privacidad del alumnado, sus familias y del profesorado, evitando la captación de información personal que pusiera de manifiesto sus características sociales, económicas, religiosas o ideológicas.
En la medida de lo posible deben realizarse en el lugar viable más neutro de las viviendas del alumnado y profesorado, y las imágenes no deben conservarse por más tiempo del establecido para la revisión de exámenes.
En todo caso, la grabación y la difusión de imágenes y audios humillantes y vejatorios constituyen una infracción de la normativa de protección de datos sin perjuicio de otras responsabilidades que pudieran derivarse.
¿Puede un o una docente negarse a que se utilice su imagen/voz para el ejercicio de la su labor docente a través de las clases on-line?
La voz y la imagen, en la medida en que permitan, directa o indirectamente, identificar a una persona, son datos personales, de modo que la captación, grabación o reproducción de esas imágenes son tratamientos plenamente sometidos a la normativa de protección de datos. Por el contrario, si las imágenes no permiten identificar a la persona (porque aparece de espaldas o su imagen está pixelada), no estaremos ante un dato de carácter personal.
Siempre que la finalidad del tratamiento sea garantizar el derecho de acceso a las sesiones docentes del alumnado que no puede acudir presencialmente y evitar así situaciones discriminatorias que los excluyan del proceso educativo, el centro cuenta con varias bases de legitimación; por una parte, el cumplimiento de una obligación legal (art. 6.1.e RGPD), que se concreta en el ejercicio de su función docente, recogida en el artículo 91 de la Ley Orgánica de Educación; y por otra, la relación funcionarial o contractual por la que el profesorado desempeña sus funciones docentes en el centro (art. 6.1.b RGPD).
Ahora bien, en cumplimiento del principio de minimización (art. 5.1.c RGPD), la grabación de la imagen/voz estaría justificada si la Administración Educativa lo entendiese imprescindible para la prestación del servicio educativo con garantías de calidad, en aras a garantizar de manera real y efectiva el derecho de sus alumnas y alumnos a la educación.
En ese caso, y en cumplimiento del principio de transparencia e información, sería conveniente que el centro educativo comunicase, a través de avisos, los siguientes extremos: que la finalidad de la visualización o captación y reproducción de las imágenes se realiza con fines estrictamente docentes; que las y los estudiantes no podrán grabar ni reproducir las imágenes o documentos facilitados para el seguimiento de las clases, dado que podrían incurrir en responsabilidades administrativas, civiles o incluso penales; que tanto docentes como estudiantes deberán adecuar su entorno para que terceras personas no sean visualizadas o captadas a través de la cámara; y los demás extremos recogidos en el artículo 13 del RGPD, entre ellos, los derechos que asisten a las personas interesadas respecto a sus datos personales (derecho de acceso, rectificación, supresión, limitación, oposición....).
CENTROS UNIVERSITARIOS:
DOCENCIA
¿Se pueden grabar las clases que impartan las profesoras y profesores con diferentes finalidades?
Tanto las clases presenciales como las no presenciales se pueden impartir para diferentes finalidades, como puede ser el de servir como material para la impartición de clases no en tiempo real, como material de estudio para la preparación de evaluación, material de apoyo para otras materias o cursos... En todas ellas la grabación de imagen, sonido y texto supone que se produce un tratamiento de datos personales y de contenido protegidos tanto por la normativa de protección de datos como por la de protección intelectual.
La normativa de protección de datos recoge unos principios que tienen que regular todo tratamiento de datos y el principio de finalidad implica que las grabaciones únicamente deben ser utilizadas en el entorno de la asignatura, y que el profesorado y alumnado deben ser informados sobre el tratamiento de datos que se realiza.
En el caso de que un alumno/a quisiera grabar la clase por sus medios debe contar con el consentimiento expreso de todas las personas asistentes.
¿Cómo y de qué hay que informar cuando se graban las clases?
Con carácter previo al inicio de la clase, tanto presencial como no presencial, y antes de proceder a grabar la misma, se deberá advertir al estudiantado de que la sesión (imagen, sonido y chat) va a ser grabada de modo que quede informado de tal circunstancia dando cumplimiento así a lo dispuesto en el artículo 12 del RGPD.
Asimismo, deberá advertirse del hecho de que las grabaciones no podrán ser usadas para otros fines que el meramente docente y que en el caso de que se pretenda dar otro uso se deberá contar con el consentimiento expreso de todas las personas afectadas.
En el caso de que se impartan las clases de forma no presencial se deberá advertir al alumnado que las intervenciones que realicen en las mismas se considerarán una parte más de la actividad docente y que sería conveniente que adecuasen su espacio de interacción a fin de proteger la intimidad familiar y la de terceros.
¿Se pueden difundir/publicar las clases grabadas?
La descarga, difusión, distribución o divulgación de la grabación de las clases y particularmente su compartición en redes sociales o servicios dedicados a compartir apuntes atenta contra el derecho a la protección datos, el derecho a la propia imagen y los derechos de propiedad intelectual. Tales usos se consideran prohibidos y podrían generar responsabilidad disciplinaria, administrativa o patrimonial a la persona infractora.
El profesorado podrá reutilizar el material generado para otros fines académicos únicamente cuando aparezca su imagen y su voz, pero no la de estudiantes o terceras personas salvo que cuente con su consentimiento expreso para ello.
¿Durante cuánto tiempo deben conservarse las clases grabadas?
Con carácter general las grabaciones estarán disponibles como máximo durante el correspondiente curso académico, salvo que las mismas formen parte de las evidencias de evaluación del alumnado.
En el caso de que un profesor o profesora quisiera reutilizar estos materiales para otras actividades académicas deberá eliminar previamente cualquier dato personal de estudiantes o terceras personas salvo que cuente con el consentimiento expreso de los mismos para ello.
En todo caso, se podrá conservar una copia debidamente bloqueada de dicha grabación para el cumplimiento de obligaciones legales por parte de la universidad.
¿Se puede ejercer el derecho de oposición respecto a las imágenes, voz... grabadas en el desarrollo de una clase tanto presencial como online?
Sí, se podrá ejercer el derecho de oposición cuando exista una justificación adecuada, por ejemplo, que se hayan grabado imágenes que no estén relacionadas con la docencia, que aparezca un familiar en segundo plano en el caso de cursos on-line...
Sería conveniente que el centro de enseñanza universitaria articulase un procedimiento que facilitase tal derecho, con carácter previo y antelación suficiente, así como la búsqueda en su caso de soluciones alternativas.
¿Se pueden utilizar datos biométricos para controlar la asistencia y participación del alumnado en actividades online?
En principio, para controlar la asistencia y participación del alumnado se considera suficiente la utilización de los sistemas de identificación y acceso ordinarios del aula virtual que no impliquen el uso de datos biométricos.
¿Cómo afecta al derecho a la protección de datos personales que la universidad solicite al estudiantado que utilice sus propios dispositivos (ordenador, tablet, móvil...) para el seguimiento de la docencia online? ¿Y a que instalen en ellos un determinado programa o aplicación?
La conexión remota del estudiantado implica un tratamiento de datos de carácter personal. La universidad debe informar de las condiciones del mismo.
En el caso de que para el seguimiento de las clases se empleen dispositivos compartidos, a fin de preservar la intimidad de terceras personas, se recomienda crear perfiles que preserven la privacidad del resto de personas que los utilicen.
Únicamente se puede requerir al alumnado que se instalen en sus ordenadores aplicaciones para las que la universidad disponga de licencia y que garanticen la protección de los datos de carácter personal.
COVID-19:
¿Qué hay que tener en cuenta para tomar la temperatura a los alumnos/as en los centros educativos como medida para evitar la propagación de la COVID 19?
La toma de la temperatura corporal a las alumnas y alumnos por parte de los centros educativos supone un tratamiento de datos personales que, como tal, debe ajustarse a las previsiones y principios de la normativa aplicable en materia de protección de datos, entre ellos, el principio de legalidad.
La normativa de protección de datos contiene preceptos específicos de aplicación a situaciones como la ocasionada por el COVID-19, que permiten mantener los principios y garantías que protegen el derecho fundamental a la protección de datos personales.
En el entorno educativo la licitud de este tipo de tratamiento de datos puede basarse en el cumplimiento de una misión de interés público, en el ámbito de la salud pública, así como en los intereses vitales de alumnas, alumnos y terceros, y, respecto del profesorado y demás personal del centro, en el cumplimiento de la obligación legal que tienen los empleadores de garantizar la seguridad y la salud de las personas que trabajan en los centros educativos.
No obstante, la aplicación de esta medida y el correspondiente tratamiento de datos requerirá la determinación previa que realicen las autoridades sanitarias competentes analizando su necesidad y regulando los límites y garantías específicas para el tratamiento de los datos personales de las personas afectadas, que, en este caso, y a diferencia de lo que ocurre en otros ámbitos, sí prevee la toma de temperatura.
La toma de temperatura no es un elemento que se pueda analizar de manera aislada, sino que puede ser un indicio que exige una comprobación correcta desde el punto de vista sanitario y, en todo caso, debe ir acompañado de un protocolo en el que se concreten las medidas a adoptar por los centros educativos.
El Acuerdo del Consejo Interterritorial del Sistema Nacional de Salud, adoptado en coordinación con la Conferencia Sectorial de Educación, sobre la declaración de actuaciones coordinadas en salud pública frente al COVID-19 para centros educativos durante el curso 2020-2021, entre las medidas a adoptar para la gestión de casos y actuación ante brotes por parte de los centros educativos, recoge que se tomará la temperatura corporal a todo el alumnado y al personal de los centros educativos de forma previa al inicio de la jornada lectiva. Cada centro dispondrá la forma de llevar a cabo esta actuación, evitando en todo caso aglomeraciones y asegurando el mantenimiento de la distancia interpersonal de al menos 1,5 metros.
Son las comunidades autónomas las que deben establecer los criterios y procedimientos que consideren adecuados teniendo en cuenta sus propias particularidades epidemiológicas que, en relación con el tratamiento de datos de salud, deberán adecuarse al sistema de garantías de la normativa de protección de datos.
En todo caso, el tratamiento de datos personales a partir de la toma de temperatura tiene que respetar la normativa de protección de datos y por ello, entre otras obligaciones, debe obedecer a la finalidad específica de contener la pandemia y no extenderse a otras finalidades distintas y los datos deben mantenerse por el tiempo estrictamente necesario para el cumplimiento de esa legitima finalidad.
¿Puede un centro escolar facilitar información sobre los casos positivos COVID-19, con fecha, curso, y letra del aula a la que pertenecen los alumnos?
Estos datos, en la medida en que permitan identificar directa o indirectamente al o la estudiante, son datos personales, que al tratarse de datos de salud entran dentro de las categorías especiales de datos, y su comunicación a terceros queda, en principio, prohibida (art. 9.1 RGPD), salvo que concurra alguna de las bases jurídicas legitimadoras del tratamiento de los datos recogidas en el art. artículo 13 del RGPD.
El acceso a la información pública debe respetar la normativa de protección de datos (artículo 15 de la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno), y dentro de ese ámbito de la transparencia, la Administración educativa no puede facilitar a los padres y madres del centro información que permita identificar directa o indirectamente a ningún alumno o alumna enfermo de COVID-19. Sería suficiente con informarles del número de casos positivos que ha tenido y tiene el centro educativo en cada momento, dado que proporcionar más datos podría dar lugar a que de forma indirecta se pudiese llegar a identificar a la persona enferma.
Por el contrario, la administración sanitaria sí está legitimada para acceder a esa información, en los términos previstos en la Ley Orgánica 3/1986, de 14 de abril, de medidas especiales en materia de salud pública, Ley 33/2011, de 4 de octubre, General de Salud Pública, y el Real Decreto-ley 21/2020 de 9 de junio, de medidas urgentes de prevención, contención y coordinación para hacer frente a la crisis sanitaria ocasionada por el COVID-19.
PADRÓN:
¿Pueden cederse los datos del Padrón Municipal a la policía local en el ejercicio de sus funciones?
Sí, siempre que se cumplan los requisitos siguientes:
- Se asegure que se utilizan únicamente aquellos datos que son adecuados, pertinentes y no excesivos, como son con carácter general, el nombre, apellidos y domicilio.
- La comunicación se realice en el marco de expedientes concretos y con necesidades debidamente justificadas, relacionadas con las funciones de interés público de la Policía Local/ Ertzaintza, definidas en la Ley de Fuerzas y Cuerpos de Seguridad.
- Se garanticen la confidencialidad y seguridad de los datos personales.
- En ningún caso se podrá realizar la comunicación masiva de los datos del Padrón a la Policía.
Es recomendable que se establezcan los medios técnicos necesarios para que la comunicación de datos personales pueda realizarse mediante un acceso por parte de la Policía Local en sus propias oficinas al Padrón Municipal teniendo en cuenta los requisitos anteriormente citados.
¿Se pueden utilizar por parte de la Administración Local los datos del padrón para fomentar la participación ciudadana?
Sí, en la medida que se utilicen dichos datos padronales para la promover actividades y prestar servicios públicos que contribuyan a satisfacer las necesidades y aspiraciones de la comunidad vecinal, así como a facilitar la más amplia información sobre la actividad de la Administración Local y la participación de toda la ciudadanía en la vida social. (art.25 y art. 69 Ley de Bases de Régimen Local).
¿Se puede comunicar a la persona propietaria de un inmueble que lo tiene arrendado información padronal de todas las personas que se hallan inscritas en el mismo?
Con carácter general el artículo 16.3. de la Ley de Bases de Régimen Local legitima que los datos del Padrón se cedan a otras Administraciones públicas que lo soliciten sin consentimiento previo de la persona afectada solamente cuando a esas Administraciones que han solicitado dichos datos les sean necesarios para el ejercicio de sus competencias y exclusivamente para asuntos en los que la residencia o el domicilio sean datos relevantes.
Así mismo, se podrán utilizar los datos del padrón para elaborar estadísticas oficiales, las cuales están sometidas al secreto estadístico.
No obstante, la persona propietaria del inmueble podría invocar un interés legítimo, que el ayuntamiento debería ponderar en cada caso, para legitimar la cesión de datos de terceras personas en el caso de que la arrendadora y la arrendataria tuviesen un pacto para que esta última facilitase una copia del empadronamiento en el inmueble.
¿Puede un Ayuntamiento comunicar los datos del padrón a una asociación de voluntariado para poder contactar telefónicamente con las personas mayores del municipio con el fin de prestarles la ayuda precisa en la situación de aislamiento que provoca la crisis del COVID-19?
El Padrón municipal es un registro de carácter administrativo cuyo fin esencial es acreditar la residencia y el domicilio habitual de sus vecinas y vecinos, que se regula en la Ley de Bases de Régimen Local. Esa Ley (artículo 16.3) permite la comunicación de datos del Padrón a las Administraciones Públicas que lo soliciten, sin consentimiento de los interesados, cuando sean necesarios para el ejercicio de sus competencias y exclusivamente para asuntos en los que la residencia o el domicilio sean datos relevantes. También legitima el tratamiento de los datos por el propio Ayuntamiento para el cumplimiento eficaz de sus competencias, siempre que el dato de la residencia o domicilio resulte relevante.
En consecuencia, debe ser el Ayuntamiento el que contacte con esas vecinas y vecinos y les facilite el teléfono o dirección de contacto de las personas voluntarias a las que pueden dirigirse para solicitar la asistencia que precisen.
PLENO Y CONCEJALES:
¿Se pueden grabar y difundir las sesiones de los plenos de los Ayuntamientos sin resultar necesario el consentimiento de las y los asistentes al mismo?
Tanto la Ley de Bases del régimen Local, como la Ley de Instituciones Locales de Euskadi afirman que existe una habilitación legal expresa en la que se exime de solicitar el consentimiento para la grabación y difusión de las sesiones. Ahora bien, hay que entender que dicha excepción sólo debiera aplicarse a los miembros del pleno de que se trata y no a otras personas asistentes o invitadas, por cuanto corresponde a los miembros del órgano representativo la obligación de soportar el tratamiento de sus imágenes y de su voz sin necesidad de consentimiento, debiendo evitarse la captación de imágenes o de la voz de las personas invitadas o asistentes.
Deberán constar en todo caso de forma visible carteles informativos que indiquen que se procede a la grabación de las sesiones.
¿Se pueden publicar en el tablón de anuncios del ayuntamiento o en su página web las actas de los Plenos municipales?
La publicación de las actas de los plenos municipales que incluyan datos personales será conforme a la normativa de protección de datos cuando se refieren a actos debatidos en el Pleno o a disposiciones objeto de publicación en el boletín oficial correspondiente, siempre y cuando se hayan eliminado aquellos datos que no sean adecuados, pertinentes y que resulten excesivos con la finalidad de ofrecer la información de las cuestiones debatidas de las que haya que informar a los ciudadanos. En definitiva, la publicidad de las actas debe ser resumida, según la normativa local, no cabe una publicidad absoluta. Si ello no fuera posible será necesario el consentimiento previo de las personas afectadas.
En ningún caso se podrán publicar las actas en las que la Administración Local haya hecho uso de la facultad de declarar secreto el debate y votación al entender que afecta al honor e intimidad de la ciudadanía.
¿Se pueden instalar cámaras de videovigilancia en la comunidad de vecinal?
Para la instalación de videocámaras en las comunidades propietarias y propietarios, será necesario, con carácter previo a dicha instalación, el acuerdo de la Junta de Propietarios.
Las cámaras únicamente podrán instalarse en las zonas comunes de la Comunidad de Propietarios, y no podrán captarse imágenes de la vía pública a excepción de una franja mínima de los accesos al inmueble.
Tampoco podrán captarse imágenes de terrenos y viviendas colindantes o de cualquier otro espacio ajeno a la comunidad vecinal.
Por otra parte, deberá prestarse especial consideración a lo siguiente:
- Se instalarán en los distintos accesos a la zona videovigilada y, en lugar visible, uno o varios carteles que informen de que se accede a una zona videovigilada.
- El cartel indicará de forma clara la existencia del tratamiento, la identidad del responsable, la posibilidad de ejercitar los derechos del artículo 15 a 22 del RGPDy una referencia a dónde obtener más información sobre el tratamiento de los datos personales.
- La AVPD dispone de un modelo de cartel.
- El acceso a las imágenes estará restringido a las personas designadas por la comunidad de propietarios. En ningún caso estarán accesibles a las personas residentes mediante canal de televisión comunitaria. Si el acceso se realiza con conexión a internet, se restringirá con un código de usuario y una contraseña (o cualquier otro medio que garantice la identificación y autenticación unívoca), que sólo serán conocidos por las personas autorizadas a acceder a dichas imágenes. Una vez instalado el sistema, se recomienda el cambio regular de la contraseña, evitando las fácilmente deducibles.
- Se pondrá a disposición de las personas afectadas la restante información que exige el artículo 13 del RGPD. La información puede estar disponible en conserjería, recepción, oficinas, tablones de anuncios o ser accesible a través de internet.
- La contratación de un servicio de videovigilancia externo o la instalación de las cámaras por un tercero no exime a la comunidad del cumplimiento de la legislación de protección de datos.
¿Están sometidos los videoporteros a la normativa de protección de datos?
En aquellos casos en los que la utilización de videoporteros se limite a su función de verificar la identidad de la persona que llamó al timbre, así como facilitar el acceso a la vivienda, no será de aplicación la normativa sobre protección de datos al ser un tratamiento de uso doméstico.
Sin embargo, si el servicio se articula mediante procedimientos que reproducen y/o graban imágenes de modo constante, y en particular cuando el objeto de las mismas alcance al conjunto del patio y/o a la vía pública colindante, o se graben imágenes sobre situaciones que concurran en la portería de un edificio, al exceder estas actuaciones del ámbito personal y doméstico, resultará de plena aplicación el RGPD y la LOPDGDD.
Mirillas digitales: ¿necesito algún permiso especial de la comunidad de propietarias y propietarios para instalar una mirilla digital en la puerta de mi domicilio?
En principio, y al igual que en el supuesto descrito anteriormente referido a los video porteros, el uso de las mirillas digitales estaría excluido en la aplicación de la normativa de protección de datos aplicando la citada excepción doméstica, siempre y cuando su uso se limite a verificar la identidad de la persona que llamó al timbre y a facilitar el acceso a la vivienda. Sin embargo, si este tipo de mirillas reproducen y/o graban imágenes, resultará de plena aplicación la normativa de protección de datos y en tal caso:
Para la instalación de dicha mirilla, al captar zonas comunes (pasillo de la comunidad), necesitará el acuerdo de la Junta de Propietarios, quien recogerá dicho extremo en el acta correspondiente. Sería recomendable que en dicha acta se recogieran las características de dicho sistema y cuál es el espacio captado por la misma.
La grabación de las imágenes se tiene que hacer con fines legítimos (art. 6 del RGPD)
Así mismo, deberían colocarse en lugar visible uno o varios carteles que informen de que se accede a una zona "videovigilada", por cuanto la mirilla capta imágenes y grabaciones si se detecta movimiento delante de la puerta de su domicilio. El cartel indicará de forma clara que se trata de una zona "videovigilada", la identidad del responsable del tratamiento y ante quién y dónde debe dirigirse para ejercer los derechos que prevé la normativa de protección de datos.
Dichas imágenes serán conservadas durante el plazo máximo de un mes desde su captación y será posible su conservación para ser entregadas a las Fuerzas y Cuerpos de Seguridad o a los Juzgados y Tribunales que las requieran, pero no podrán utilizarse con otro fin.
¿Es aplicable la normativa de protección de datos en el caso de que se instalen cámaras simuladas?
El RGPD y la LOPDGDD se aplican cuando se produce un tratamiento de datos personales de personas físicas. En el caso de cámaras simuladas, no existe por tanto tratamiento y no está sometido a la normativa de protección de datos, sin perjuicio de que puedan verse afectados otros derechos de las personas (STS 3505/2019 de 7 de noviembre). Ahora, en el caso de que se instalen cámaras reales, pero estas no se activen, sí sería aplicable la normativa de protección de datos.
¿Se vulnera la normativa de protección de datos, cuando se utilizan imágenes por los medios de comunicación como complemento a un artículo periodístico?
La publicación de imágenes en los medios de comunicación supone un ejercicio del derecho de libertad de información recogido en el artículo 20 de la Constitución Española.
En el supuesto de que alguna persona particular considerase lesionado su derecho al honor, a la intimidad personal y familiar y a la propia imagen, garantizado en el artículo 18 de la Constitución Española, por haberse cometido una intromisión ilegítima tendría que acudir a la vía judicial al amparo de lo recogido en el artículo 9 de la Ley Orgánica 1/1982, de 5 de mayo de Protección civil del derecho al honor, la intimidad personal y familiar y a la propia imagen.
Así mismo, debe tenerse en cuenta que, de conformidad con el artículo 8.2 c) de la citada LO 1/1982, "el derecho a la propia imagen no impedirá la información gráfica sobre un suceso o acaecimiento público cuando la imagen de una persona determinada aparezca como meramente accesoria". Por lo que la información gráfica en el caso de utilizarse como apoyo a una información periodística no será considerada una intromisión ilegítima.
¿Es acorde a la normativa de protección de datos la instalación de sistemas GPS en vehículos de la policía municipal o vehículos de empresa?
La entidad empleadora podrá tratar los datos obtenidos a través de sistemas de geolocalización para el ejercicio de las funciones de control de las trabajadoras, trabajadores, empleadas o empleados públicos previstas, respectivamente, en el artículo 20.3 del Estatuto de los Trabajadores y en la legislación de función pública, siempre que estas funciones se ejerzan dentro de su marco legal y con los límites inherentes al mismo.
Ahora bien, con carácter previo, dicha entidad habrá de informar de forma expresa, clara e inequívoca a las personas afectadas y, en su caso, a sus representantes, acerca de la existencia y características de estos dispositivos. Igualmente deberán informarles acerca del posible ejercicio de los derechos de acceso, rectificación, limitación del tratamiento y supresión.
¿Qué es el derecho de acceso a la información pública?
La Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno, establece que todas las personas tienen derecho a acceder a la información pública.
La información pública se define como los contenidos o documentos, cualquiera que sea su formato o soporte, que obren en poder de Administraciones o Instituciones Públicas y que hayan sido elaborados o adquiridos en el ejercicio de sus competencias.
¿Qué es el derecho a la publicidad activa?
La Ley 19/2013 obliga a las Administraciones o Instituciones Públicas a publicar información institucional jurídica y económica.
Sin embargo, existen algunos límites a esa obligación en función de la naturaleza de la información (si está relacionada con una serie de cuestiones que la propia Ley enumera en su artículo 14) o debido a la protección de datos de carácter personal. Así, si la información contiene datos especialmente protegidos, la publicación sólo se llevará a cabo previa disociación de los mismos.
Si la información solicitada contiene datos de carácter personal, ¿prevalece el derecho a la protección datos o debe entregarse la información?
En este caso hay que tener en cuenta lo siguiente:
- Si los datos son referentes a ideología, afiliación sindical, religión o creencias, el acceso únicamente se podrá autorizar en caso de que se obtenga el consentimiento expreso y por escrito de la persona afectada, salvo que ésta hubiese hecho manifiestamente públicos los datos con anterioridad.
- Si los datos son referentes al origen racial, a la salud y a la vida sexual, se trata de datos genéticos o biométricos o relativos a la comisión de infracciones penales o administrativas que no supongan amonestación pública a la persona infractora, será necesario para conceder el acceso el consentimiento expreso de la persona afectada o que exista una ley que habilite el acceso.
- Si los datos son meramente identificativos relacionados con la organización, funcionamiento o actividad pública del órgano, con carácter general, y salvo que prevalezca la protección de datos personales u otros derechos constitucionalmente protegidos, se concederá el derecho de acceso.
- Si los datos no tuviesen la condición de especialmente protegidos, debe realizarse una ponderación del interés público en la divulgación de la información y los derechos de las personas.
No será de aplicación los puntos anteriores si la información se facilita de forma disociada, es decir, que impida la identificación de las personas afectadas.
Aunque la competencia para la resolución de las cuestiones que se generen en este ámbito corresponde a la AEPD, con ánimo colaborativo la AVPD publica las siguientes cuestiones suscitadas al respecto.
¿Se aplica la normativa de protección de datos a las comunidades vecinales?
En la medida en que realizan un tratamiento de datos de carácter personal de personas físicas, en este caso del nombre, apellidos, dirección o correo electrónico de las propietarias y propietarios de los inmuebles de la comunidad, deben de cumplir lo dispuesto en la normativa de protección de datos.
¿Deben nombrar un delegado de protección de datos las comunidades de propietarias y propietarios?
El artículo 37 del RGPD establece taxativamente los supuestos en los que es necesario nombrar un delegado de protección de datos por aquellos responsables del tratamiento de datos personales y en el caso de comunidades no sería necesario contar con dicha figura.
¿Cómo deben actuar aquellas comunidades que tienen adjudicada la gestión a un administrador de fincas?
En el caso de que una comunidad de vecinas y vecinos tenga contratado un administrador de fincas, la comunidad será el responsable del tratamiento y el administrador actuará como encargado de dicho tratamiento. Para que la relación entre la comunidad y el administrador se ajuste a la normativa de protección de datos, es preciso que se cumplan las condiciones recogidas en el artículo 28 del RGPD.
Tanto el responsable del tratamiento como el encargado deberán cumplir una serie de obligaciones, como, por ejemplo, realizar el registro de actividades de tratamiento, cumplir con el derecho de información, atender los derechos sobre protección datos y determinar la legitimación de los tratamientos.
El responsable del tratamiento y el encargado están legitimados para el tratamiento de los datos de las propietarias y los propietarios de los inmuebles de una comunidad en cuanto resulten necesarios para la gestión ordinaria de los asuntos de la comunidad dando así cumplimiento a las obligaciones legales establecidas en la Ley de Propiedad Horizontal.
Por tanto, para tratar datos de carácter personal de las personas propietarias con fines distintos a los recogidos en la LPH será necesario el consentimiento específico, informado e inequívoco de los mismos.
¿Se pueden realizar comunicaciones a quien ostente la propiedad por sistemas de mensajería instantánea (WhatsApp)?
Sí, si lo ha facilitado el propietario como canal de comunicación. Ahora bien, no se podría utilizar para incluir al propietario en un grupo sin su consentimiento expreso, informado y explícito.
¿Se puede comunicar datos de contacto de personas propietarias a un servicio externo en situaciones de emergencia, o en caso de siniestros (por ejemplo, inundación o rotura de tuberías), sin el consentimiento de los interesados?
Sí, por cuanto se entiende que existe un interés legítimo por parte de la comunidad en resolver el siniestro lo más rápido posible con el objeto de evitar daños.
¿Puede un administrador de fincas conservar el correo electrónico utilizado por una propietaria para comunicar una avería y usarlo para sus relaciones derivadas de la gestión de la comunidad al margen de la avería concreta?
Sí, siempre que la dirección de correo electrónico haya sido proporcionada por la persona en concreto y se utilice por el administrador de fincas para la gestión de sus relaciones con la comunidad. Para cualquier otra finalidad, como podría ser la publicidad o marketing necesitaría su consentimiento.
¿Pueden el responsable o el encargado del tratamiento exponer en el tablón de avisos de la comunidad la lista de propietarios o propietarias deudores?
Con carácter general, la publicación en el portal/tablón de avisos de la comunidad de una relación de propietarias o propietarios que no se encuentran al corriente en el pago de las cuotas no está amparada por la normativa de protección de datos.
Ahora bien, la Ley de Propiedad Horizontal permite la publicidad de la identidad de las deudoras y de sus deudas con la comunidad, incorporando dichos datos a la convocatoria de la Junta de Propietarios.
Excepcionalmente, si intentada una citación o notificación al propietario o propietaria fuese imposible practicarla bien en el domicilio que a efectos de citaciones y notificaciones hubiere facilitado el mismo o en carencia de este, no se hubiere podido realizar en el piso o local perteneciente a la comunidad, se podrá publicar en el tablón de anuncios de la comunidad, o en lugar visible de uso general habilitado al efecto. En este supuesto, deberán hacerse constar junto con el documento publicado, los motivos de dicha publicación extendiéndose diligencia por la persona que ejerza las funciones de secretario.
¿Pueden los propietarios de un inmueble conocer la identidad de los propietarios o propietarias morosas?
Sí, porque la Ley de Propiedad Horizontal especifica en su artículo 16, que la convocatoria a la Junta de Propietarios contendrá una relación de quienes no estén al corriente en el pago de las deudas vencidas a la comunidad y advertirá de la privación del derecho de voto. Por tanto, tienen derecho a conocer la identidad de estas personas.
¿Resulta conforme a la normativa de protección de datos que la representación legal de la comunidad deba exhibir el libro de actas ante una entidad bancaria para formalizar la apertura de una cuenta corriente o para el cambio anual de firmas de los cargos de la comunidad?
La apertura y desenvolvimiento de una cuenta corriente con la entidad bancaria provoca la necesidad de que esta tenga conocimiento de los datos de identificación de quien asume esa representación legal y de los cambios que se produzcan anualmente, así como de los datos personales de aquellos cargos de la comunidad a los que su presidencia otorgue la facultad de firma, independiente o conjunta, para las operaciones referidas a dicha cuenta.
Ahora bien, tales datos le pueden ser comunicados mediante la correspondiente certificación expedida por el administrador de la comunidad de propietarias y propietarios u otro documento de apoderamiento legal.
Aunque la competencia para la resolución de las cuestiones que se generen en este ámbito corresponde a la AEPD, con ánimo colaborativo la AVPD publica las siguientes cuestiones suscitadas al respecto.
¿En qué supuestos se puede incluir a una persona física en un "fichero de morosos"?
La inclusión de los datos personales de una persona física en un fichero de morosos sólo cabe realizarla cuando:
- exista una deuda previa cierta, vencida, exigible que haya resultado impagada y cuya cuantía sea superior a cincuenta euros
- que no hayan transcurrido cinco años desde la fecha en que hubo que procederse al pago de la deuda o del vencimiento de la obligación o del plazo concreto si fuera de vencimiento periódico
- que los datos los haya facilitado la persona acreedora o quien actúe por su cuenta o interés, quien además habrá de haber informado a la persona afectada en el contrato o en el momento de requerir el pago acerca de la posibilidad de inclusión en dichos sistemas de impagos y de la posibilidad de ejercitar los derechos establecidos en los artículos 15 a 22 del RGPD dentro de los treinta días siguientes a la notificación de la deuda al sistema de impagos.
En el caso de que haya pagado la deuda y siga todavía apareciendo en dicho sistema de morosos, ¿Qué puedo hacer?
En principio la obligación de comunicar al responsable del tratamiento de los "ficheros de morosos" de que el deudor o deudora ha cumplido con sus obligaciones y por tanto no tiene pendiente de pago ninguna cantidad es responsabilidad de la persona acreedora, quien tendrá que comunicar dicha circunstancia en el plazo de una semana.
Ello supondrá la exclusión inmediata de la deudora o el deudor de dicho sistema de impagos. Ahora bien, se recomienda que la persona afectada comunique a dicho responsable el cumplimiento de sus obligaciones dinerarias evitando así el que siga apareciendo en dichos sistemas.