Consultas

Agustn Puente Escobar Abogado del Estado-Jefe del Gabinete Jurdico

Consultas
Carcter de los datos relativos a la asignacin a la iglesia catlica, donaciones deducibles a ONG, grado de discapacidad, cuota sindical y matrimonio entre personas del mismo sexo, su publicacin para el conocimiento pblico de los ciudadanos Segn el informe 158/08 de la AEPD la decisin del contribuyente de asignar un porcentaje de la recaudacin de sus tributos a la Iglesia Catlica no revela necesariamente sus creencias por lo que no son datos especialmente protegidos. En las donaciones deducibles debe darse la misma respuesta que a la anterior pregunta. En cuanto al grado de discapacidad y cuota sindical son datos especialmente protegidos. En cuanto a su publicacin, en principio se aplicaran cuando procediera las reglas del artculo 7.3; es decir, solo operara para los datos de salud, origen racial y vida sexual y cuando existiera cobertura por una norma con rango de Ley. Ha de tenerse en cuenta tambin que respecto de estos datos operan circunstancias especiales en cuanto al nivel de seguridad cuando son tratados por el empresario en cumplimiento de sus obligaciones legales o para la mera detraccin en nmina. El dato del matrimonio con persona del mismo sexo puede revelar la vida sexual del afectado, si bien debe tenerse en cuenta que se someter a un rgimen de divulgacin menos restrictivo, al haberse hecho manifiestamente pblico por el interesado (art. 7.3 LOPD en conexin con el art. 8.2 e) Directiva 95/46/CE).
3

Consultas
En las ltimas resoluciones la Agencia est exigiendo la realizacin de un requerimiento de pago fehaciente, como nico medio de prueba, y sin embargo la "fehaciencia" no viene exigido por la normativa de proteccin de datos. El requerimiento de pago viene impuesto por la propia LOPD y explicitado en el RLOPD. La AN ha considerado que este requisito es de ineludible cumplimiento y que corresponde la carga de probar dicho cumplimiento a quien realiza el requerimiento; de ah que el mismo deba ser fehaciente. La AN no ha considerado suficiente la aportacin de meros pantallazos, emisin de facturas o recibos o la mera declaracin de la realizacin del envo. Adems, el requerimiento debe referirse a una deuda concreta (que se corresponda con la incluida luego en el fichero) y especificar la advertencia de que en caso de impago los datos sern incorporados a los ficheros. En cuanto al medio probatorio podra establecerse un procedimiento similar al previsto para la notificacin de inclusin en ficheros de solvencia segn el RLOPD.

Consultas
Qu criterios han de imperar a la hora de publicar los ficheros en las webs de Organismos Pblicos? Debe existir una legitimacin suficiente para que proceda la cesin de los datos derivada de esa publicacin (art. 11 LOPD). Generalmente est vendr determinada por la declaracin del carcter pblico de un determinado fichero o registro (aunque podran existir otras causas legitimadoras). En todo caso, la mera creacin de un registro pblico no implica necesariamente la publicacin de todos los datos incluidos en el fichero, sino que debera efectuarse un test de proporcionalidad vinculado a la finalidad que justifica la publicidad de los datos, atendido el inters legtimo en la publicacin y el derecho a la proteccin de datos de los interesados. Adems ser preciso que se respeten los restantes principios de la LOPD. En particular, los datos debern ser exactos y encontrarse actualizados, respondiendo a la situacin del interesado (art. 4.3 LOPD).

Consultas
Ante un cambio del administrador de fincas en una comunidad de vecinos Cmo proceder? Debo notificar a la AEPD el cambio de titularidad en la responsabilidad de un fichero de datos de propietarios siendo el nuevo administrador de fincas cuando el anterior ya lo ha registrado? La AEPD ha venido sealando que en los ficheros de los que ha de ser responsable una comunidad de propietarios el Administrador de Fincas tiene una doble condicin. Encargado del tratamiento cuando mantiene los datos en sus sistemas de informacin. Usuario de los ficheros de la Comunidad en cuanto rgano de la misma. En ningn caso, respecto de estos ficheros, el Administrador ser responsable del fichero. De este modo, en caso de que se produzca un cambio en el administrador de fincas debera estarse a las circunstancias de cada caso: Si los ficheros han permanecido en la Comunidad, sin alojarlos el administrador en sus sistemas, solo habra un cambio de usuario. Si el administrador se encargaba de la conservacin era encargado del tratamiento y deber devolver los datos al responsable (la comunidad de propietarios) o al nuevo administrador/encargado que la misma designe conforme a la LOPD y al RLOPD.
6

Consultas
Quera me explicaran cmo se debe actuar en materia de prevencin de blanqueo de capitales. Cundo hay que dar de alta el fichero? La Ley 10/2010 impone a los sujetos obligados una serie de obligaciones que implican necesariamente el tratamiento de datos personales; fundamentalmente en cuanto se refiere al cumplimiento del deber de diligencia debida y el examen especial de operaciones y comunicacin al SEPBLAC. Adems impone la creacin de un rgano especfico de prevencin de blanqueo que deber ser quien lleve a cabo las actuaciones a las que se refiere la segunda de estas obligaciones. De este modo, las empresas crearn ficheros especficos con estas finalidades que debern quedar en cuanto a su acceso limitados a la citada unidad y que debern ser objeto de notificacin al RGPD. Es posible que, por otra parte, determinados datos relacionados con el deber de diligencia debida se incorporen al fichero de clientes del sujeto obligado del que, en su caso, habr de solicitarse una modificacin.

Consultas
Ficheros con datos de salud y relaciones con entidades aseguradoras. Proteccin de datos en el sector sanitario de entidades privadas. Relacin entre aseguradoras y hospitales Debera diferenciarse la rama aseguradora a la que se est haciendo referencia: Respecto del seguro de Responsabilidad civil, la AEPD (en criterio confirmado por la AN y el TS) ha considerado que es posible la cesin de los datos por los centros sanitarios al asegurador para el cumplimiento de las obligaciones legales de provisin de las cantidades que resulten necesarias para el abono de la indemnizacin. En asistencia sanitaria no existe tal cobertura, por lo que la AEPD, de conformidad con el criterio de la Direccin General de Seguros y Fondos de Pensiones ha venido exigiendo el consentimiento del asegurado al firmar la pliza y en cada acto mdico, habiendo dado su visto bueno al modelo de clusula presentada por UNESPA. No obstante, est en trmite una modificacin de la legislacin de ordenacin del seguro privado, elaborada con la opinin de la AEPD, en la que podra exceptuarse, con determinadas condiciones, esa exigencia del consentimiento.

Consultas
Qu se considera como cliente, a efectos de la LSSI? La LSSI excepta del consentimiento del interesado las comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratacin con el cliente. La Directiva 2009/136/UE vincula este supuesto con que el emisor obtenga de sus clientes la direccin de correo electrnico, en el contexto de la venta de un producto o de un servicio, vinculando este artculo a la legitimacin como consecuencia de una relacin contractual . De este modo, para que un determinado destinatario pueda ser considerado cliente, el emisor de las comunicaciones debe poder acreditar fehacientemente que el mismo ha adquirido realmente bienes y servicios similares a los que son objeto de la comunicacin, debiendo entenderse en este sentido el concepto de cliente a estos efectos.

Consultas
En relacin con la reforma del artculo 21 de la LSSICE, que considera la Agencia por "direccin electrnica vlida" para poder ejercitar el derecho de oposicin? La Directiva 2009/136/UE al referirse a este supuestos indica que sern nulas las comunicaciones que no contengan una direccin vlida a la que el destinatario pueda enviar una peticin de que se ponga fin a tales comunicaciones, de lo que parece deducirse que en las comunicaciones debera constar una direccin de correo electrnico a la que remitir de forma inmediata las peticiones. No obstante, hasta la fecha la Audiencia Nacional viene indicando que es posible que en el mensaje se redirija al destinatario a una pgina web donde manifestar su negativa, por lo que cabra considerar que en este caso tambin se ofrece una direccin electrnica, siempre que sea sencillo para el usuario a partir de la direccin web comunicada ejercer el derecho a negarse a seguir recibiendo las comunicaciones. En todo caso, como indica la norma, la direccin deber ser vlida, es decir,: Deber encontrarse operativa; y Deber permitir atender efectivamente la solicitud de oposicin del interesado.

10

Consultas
Un encargado de tratamiento que presta al responsable servicios de telemrketing, realiza grabaciones de las llamadas al telfono de la empresa del responsable para verificar la calidad del servicio que prestan sus empleados. En este caso, es necesario informar a los empleados de que se est grabando la conversacin e informarles sobre lo que establece el artculo 5 de la LOPD. Dado que en este caso se trata de una medida de control de los trabajadores, que puede encontrarse amparada por el Estatuto de los Trabajadores, sera lcito el tratamiento, pero resultara imprescindible para ello informar con carcter previo a los trabajadores. En todo caso, debe tenerse en cuenta que la empresa sigue siendo encargada del tratamiento del fichero que contiene las grabaciones, toda vez que la actuacin de la misma se realiza en el marco del encargo. Por ello, debern respetarse los lmites y obligaciones impuestos por la LOPD y el RLOPD al encargado.

11

Consultas
Si remitimos la respuesta a ejercicio de derechos por carta certificada y sta viene devuelta, se entiende por contestado el derecho en plazo o sera necesario hacer un segundo envo teniendo en cuenta que la carta certificada te da un plazo para recoger el escrito en correos (salvo en los supuestos de direccin errnea)? Las normas de proteccin de datos establecen el principio de que el afectado puede elegir el medio a travs del cual se debe dar respuesta al derecho, sin perjuicio de las normas del RLOPD para el caso de que el medio elegido sea de un coste elevado o implique una seguridad menor que el puesto a disposicin del afectado por el responsable. De este modo, si el interesado ha solicitado que se d respuesta al ejercicio del derecho a travs del medio descrito y, no obstante, no se produce la entrega y el envo aparece como devuelto debe considerarse que el responsable ha dado adecuado cumplimiento a la solicitud de ejercicio. Deben exceptuarse los supuestos en los que se produzca un error en el envo que resulte imputable al propio responsable (por ejemplo, al dirigir la comunicacin a una direccin errnea).

12

Consultas
En un despacho de varios profesionales autnomos, que comparten instalaciones, quin es el responsable de tratamiento si el fichero lo comparten todos? Para dar respuesta a esta pregunta deber atenderse al concepto de responsable del fichero o del tratamiento; es decir, determinar quin decide sobre la finalidad, contenido y uso del tratamiento, pudiendo obtenerse distintas respuestas atendiendo al supuesto real planteado: Si se tratase de un despacho, de una sociedad profesional o de un gabinete en que se contratan por el cliente los servicios de todos los profesionales existira una solo fichero del que sera responsable el despacho o la sociedad profesional o del que podran ser corresponsables todos los profesionales. Si el cliente nicamente contrata los servicios de un profesional, no existiendo ningn vnculo jurdico entre los profesionales ms que la comparticin de las instalaciones y de los gastos, cada profesional sera responsable de su propio fichero de clientes. El hecho de que los ficheros se estructurasen en una sola base de datos no alterara esta conclusin, pero deberan adoptarse medidas que permitieran una adecuada compartimentacin de los distintos ficheros para que cada profesional nicamente pudiese acceder a los datos de sus clientes.
13

Jos Lpez Calvo Subdirector General de Inspeccin de Datos

14

Consultas
Un organismo de la administracin publica, podrahacer una auditora del uso adecuado del correo electrnicopor sus trabajadores accediendo al contenido? podra alcanzar el control a las carpetas privadas? El T. S. en su Sentencia, de 26/09/2007, se ha pronunciado sobre el control empresarial del correo electrnicopreviendo la posibilidad de que el empresario pueda acceder al control del ordenador, del correo electrnico y losaccesos a Internet de los trabajadores, siempre que la empresa de "buena fe" haya establecido "previamente lasreglas de uso de esos medios con aplicacin de prohibiciones absolutas o parciales e informado de que va existirun control y de los medios que han de aplicarse en orden a comprobar la correccin de los usos. La STC, Sala Primera, de 11/02/2013, establece la necesidad, adems de la informacin previa y expresa,precisa, clara e inequvoca a los trabajadores de la finalidad del control de la actividad laboral, de que la informacinconcrete las caractersticas y el alcance del tratamiento de datos que va a realizarse. Respecto al control de carpetas personales de los trabajadores concurren dos situaciones: Si la carpeta es un servicio que la empresa ha decidido prestar a sus empleados, no lo considera instrumento de trabajo y no puede controlarlo como empresario. Si por el contrario la carpeta personal la crea por propia iniciativa el trabajador puede ser objeto de monitorizacin como el resto del ordenador profesional (uso Internet, correo electrnico) previo establecimiento de las condiciones de uso e informacin (STS 26-9-2007 y STC 11-2-2013).
15

Consultas
En sistemas de videovigilancia activada por sensores de movimiento, (alarmas con captacin de imgenes o videograbaciones), es necesario notificar los ficheros a la AGPD, y poner cartel informativo si no se graba continuamente, sino que solo graba en el momento que se activa la alarma, ante un intruso o fuera del horario laboral?

S, en todo caso al no resultar aplicable la excepcin prevista en la Instruccin 1/2006, que dispone que 7.2. A estos efectos, no se considerar fichero el tratamiento consistente exclusivamente en la reproduccin o emisin de imgenes en tiempo real.
En consecuencia, el rgimen vigente resulta aplicable con independencia de la concurrencia del suceso o incidencia que ponga en marcha el sistema de grabacin de imgenes, incluido tambin el deber de informar mediante cartel informativo.

16

Consultas
Legalidad de las cmaras de videovigilancia que tambin graban la voz.

La definicin de dato personal se recoge en el artculo 5.1.f) del Real Decreto 1720/2007, de 21 de diciembre: cualquier informacin numrica, alfabtica, grfica, fotogrfica, acstica o de cualquier otro tipo concerniente a personas fsicas identificadas o identificables. Las grabaciones de voz son consideradas grabaciones de datos personales. La omisin de la referencia a la voz en la Instruccin 1/2006 de la Agencia, no supone su exclusin del rgimen de la LOPD. La grabacin del sonido de voz en un soporte informatizado constituye un almacenamiento de datos personales (tratamiento). En el supuesto planteado, el hecho de que resulte legtima la videovigilancia no implica necesariamente que se legitime la grabacin de la voz, tratamiento que tendra que tener su justificacin propia.

17

Consultas
La D.G.P ha emitido una recomendacin sobre los sistemas de videovigilancia en la que se indica que las cmaras de seguridad deberan ubicarse a la altura del rostro. Dado que una cmara instalada en un cajero automtico a esa altura tambin grabara el resto de la calle y a las personas que por ella pasan, nos gustara saber su opinin sobre la compatibilidad de esta recomendacin con la Instruccin 1/2006 sobre videovigilancia. Las instalaciones de videovigilancia utilizadas en Bancos, Cajas de Ahorro y dems entidades de crdito estn sujetas a reglas especficas (Ley Seguridad Ciudadana). Estas instalaciones son de titularidad privada siendo estas entidades responsables de las mismas. El artculo 120 del Reglamento de Seguridad Privada define peculiaridades en su rgimen jurdico. Entre ellas se encuentra que las imgenes estarn exclusivamente a disposicin de las autoridades judiciales y de las dependencias de las Fuerzas y Cuerpos de Seguridad, a las que facilitarn inmediatamente aquellas que se refieran a la comisin de hechos delictivos. De esta forma, se respeta el principio segn el cual la utilizacin de instalaciones de videovigilancia en la va pblica se reserva a las Fuerzas y Cuerpos de Seguridad por la Ley Orgnica 4/1997, de 4 de agosto por la que se regula la utilizacin de videocmaras por las Fuerzas y Cuerpos de Seguridad del Estado en lugares pblicos.

18

Consultas
El tiempo mximo de almacenamiento de imgenes es de 30 das, pero el mnimo, est definido o queda a libre eleccin? No existe obligacin de almacenamiento mnimo. grabar segn la LOPD por lo tanto tampoco de

El responsable del fichero es quien determina si almacena o no almacena imgenes y, en su caso, el tiempo mnimo de almacenamiento.

19

Consultas
Cabe la posibilidad de la colocacin de cmaras privadas sin estar conectadas a una central de alarmas, que no hayan sido instaladas por una empresa registrada en el Ministerio del Interior? Segn el artculo 14 de la Ley 25/2009 (Ley mnibus) la concurrencia de una empresa de seguridad para la instalacin de videocmaras es exigible nicamente cuando las mismas se encuentran conectadas con Centrales Receptoras de Alarmas.

20

Consultas
Que requisitos se deben cumplir para instalar videovigilancia visualizando el portal de un inmueble? La Junta de Propietarios es el rgano de gobierno que debe legitimar la instalacin de las videocmaras. El acuerdo para la instalacin de las cmaras deber reflejarse en el acta de la Junta de Propietarios en los trminos que determina la Ley de Propiedad horizontal. Las cmaras pueden captar imgenes de zonas comunes pero en ningn caso podrn captar imgenes del interior de los domicilios. Las imgenes sern accesibles nicamente por las personas que determine la Junta de Propietarios que se especificarn en el documento de seguridad. Con carcter general se dar cumplimiento a lo previsto en la Instruccin 1/2006 en lo que respecta al deber de informacin e inscripcin de fichero.

21

Consultas
Es lcito informar y solicitar el consentimiento a los interesados mediante pantallas digitales donde se contenga el aviso legal correspondiente y se firme con un bolgrafo digital? El artculo 5 de la LOPD reconoce el derecho a la informacin en la recogida de datos y, salvo la indicacin de que la informacin ha de ser expresa, precisa e inequvoca, no contiene, como seala la STS de 15 de julio de 2010, ninguna referencia a la forma, pudiendo ser, en consecuencia, verbal, escrita, telemtica, etc. Solo establece en su apartado 2 una forma especfica cuando se utilizan cuestionarios o impresos. Del mismo modo, la LOPD recoge, como regla general, el principio de libertad de forma en la prestacin del consentimiento con la sola indicacin de que sta manifestacin de voluntad deber ser libre, inequvoca, especfica e informada. Por ello, nada obsta a que la informacin y el consentimiento se presten utilizando pantallas digitales que capturan la firma del afectado.

22

Consultas
Cuando se llama a un servicio de emergencias se debe o no informar sobre la LOPD? Los usuarios de los servicios de emergencia pueden ser informados mediante la inclusin en la pgina web y/o en su publicidad institucional, recogiendo la informacin que contuviera los extremos previstos en el artculo 5 de la LOPD. La entidad tiene que establecer un procedimiento para informar a los afectados de forma que no interfiera la eficaz prestacin de sus servicios en los que el derecho a la salud o seguridad reviste un carcter prevalente y no puede ser amenazado por la necesidad de que finalice una locucin grabada.

23

Consultas
Cuando el artculo 12 de la LOPD se refiere a que el Encargado del Tratamiento "tambin" puede ser responsable, significa que adems del Encargado deber siempre ser sancionado el Responsable del Fichero? Cada agente involucrado en el tratamiento deber responder por las responsabilidades que, en su caso, le resulten imputables de acuerdo con la tipificacin prevista en el artculo 44 de la LOPD y las obligaciones del encargado que se desarrollan en los artculos 20, 21 y 22 del RLOPD. PS/142/2011: se sancion a un encargado de tratamiento como responsable de una insuficiente implantacin de medidas de seguridad, que dio lugar a la difusin de datos a travs de Internet. Se exoner de responsabilidad al responsable, al haberse constatado que el encargado se haba comprometido contractualmente a adoptar medidas para evitar, concretamente, la divulgacin de tales datos sin que se le pudiera exigir diligencia adicional. En casos de alta en servicios sin consentimiento pueden ser sancionados tanto el encargado (comercial) como el responsable si ninguno de los dos adopta la diligencia necesaria para contrastar la identidad del solicitante.

24

Julin Prieto Hergueta Subdirector General del Registro General de Proteccin de Datos

25

Consultas
El Reglamento define como usuario "sujeto o proceso autorizado para acceder a datos o recursos. Tendrn la consideracin de usuarios los procesos que permitan acceder a datos o recursos sin identificacin de un usuario fsico". Qu utilidad tiene? Se podran excluir?

La obligacin de mantener un registro de accesos es una medida de seguridad exigible en los ficheros a los que aplican las medidas de seguridad de nivel alto. Su finalidad es garantizar la trazabilidad de todos los accesos a aquellos tipos de datos que, por su especial sensibilidad, requieren un mayor nivel de proteccin. El hecho de que el acceso sea realizado por un proceso automatizado no elimina la necesidad de control de acceso a los datos, ya que dicho proceso estar en ltima instancia bajo el control de una organizacin y de unas personas que podrn acceder a los resultados del tratamiento efectuado.

26

Consultas
Segn el art. 88.2 RLOPD, es posible disponer de un Documento de Seguridad comn a las distintas entidades de un mismo grupo, particularizando dentro del Documento todo lo particularizable, siendo la mayora de cuestiones (ficheros, sistemas, procedimientos, Responsable Seguridad, Dpto. de Informtica, etc.) idnticas o muy similares?

Es posible elaborar un documento de seguridad comn a varias entidades de un mismo grupo empresarial que compartan recursos de procesamiento de informacin, siempre que tanto las responsabilidades como las especificidades de cada entidad estn claramente identificadas y diferenciadas en el mismo. En todo caso, cada entidad conserva responsabilidad propia en el cumplimiento de las obligaciones impuestas por la LOPD y su reglamento de desarrollo.

27

Consultas
Los ficheros de currculum para la propia gestin por parte del Responsable del Fichero de seleccin de personal destinada a su organizacin, debe cumplir con las medidas de seguridad de nivel medio? Por otro lado, el fichero de nminas y recursos humanos del Responsable del Fichero (gestin de RRHH de la propia organizacin), debe cumplir con las medidas de seguridad de nivel medio?

Con carcter general, a los ficheros de currculum vtae destinados a la seleccin de personal les seran de aplicacin las medidas de seguridad de nivel bsico. Igualmente, como regla general a los ficheros de nminas les seran de aplicacin las medidas de seguridad de nivel bsico, siempre que el eventual tratamiento de datos de afiliacin sindical o de salud se ajuste a las excepciones previstas en el artculo 81.5 del RLOPD. Respecto al fichero de recursos humanos, el nivel de medidas de seguridad aplicable vendr determinado por el tipo de datos que sean objeto del tratamiento (art. 81 del RLOPD), teniendo igualmente presentes las excepciones previstas en el artculo 81.5 del RLOPD.
28

Consultas
En una ptica el pedido a mayoristas de lentes del cliente se identifica con un cdigo (no nombre). Es un dato disociado? Se debe aplicar la LOPD?

El artculo 3.f) de la LOPD define el procedimiento de disociacin como todo tratamiento de datos personales de modo que la informacin que se obtenga no pueda asociarse a persona identificada o identificable. Y el artculo 5.1.e) del RLOPD define dato disociado como aqul que no permite la identificacin de un afectado o interesado. Por tanto, siempre que se adopten medidas tcnicas y organizativas para evitar que el pedido se asocie a datos identificativos de la persona en el momento del encargo ni en el de la entrega de las lentes, la LOPD no sera aplicable al tratamiento realizado por el mayorista.

29

Consultas
Si una compaa "A" ha sido designada como encargado del tratamiento de los ficheros responsabilidad de otra compaa "B", tiene obligacin la compaa "A" de planificar y llevar a cabo la auditora bienal (si se aplica por el nivel de seguridad)?, o, por el contrario, es la compaa B la que est obligada a planificar y realizar la auditora, teniendo que incluir a la compaa A en la misma?

El responsable del fichero tiene una obligacin especfica de diligencia en orden a estipular en el contrato de prestacin de servicios las medidas de seguridad que debe implantar el encargado del tratamiento (art.12 LOPD y 20.2 RLOPD). La auditora, prevista en el art. 96 RLOPD, est dirigida a la verificacin del cumplimiento de las medidas de seguridad, en consecuencia, el responsable del fichero puede solicitar al encargado su realizacin. El informe que resulte de la auditora deber ser analizado por el responsable de seguridad que elevar su conclusiones al responsable del fichero o tratamiento para que adopte las medidas correctoras adecuadas.

30

Consultas
Sera necesario llevar el registro de acceso para un Sociedad Limitada Unipersonal solamente con el administrador (dueo) el que trata los datos personales. Podemos entender que si en una empresa solo hay un usuario que acceda a datos de nivel alto en soporte automatizado, no es necesario el mantenimiento del registro de accesos?

El registro de acceso est previsto para los ficheros o tratamientos sometidos a medidas de seguridad de nivel alto (artculo 81.3 RLOPD). No obstante, el artculo 103.6 del RLOPD prev que NO ser necesario si el responsable del fichero o tratamiento es una persona fsica y si garantiza que nicamente l tiene acceso y trata los datos personales. Circunstancias ambas que deben hacerse constar en el documento de seguridad.

31

Consultas
Se considera transferencia internacional la cesin de datos de clientes entre la sucursal extranjera y la matriz de una empresa?

Segn el art. 5.1.s) del RLOPD transferencia internacional de datos es el tratamiento que supone una transmisin de los mismos fuera del territorio del EEE, bien constituya una cesin o comunicacin de datos, bien tenga por objeto la realizacin de un tratamiento de datos por cuenta de un responsable del fichero establecido en territorio espaol. Si el flujo de datos personales entre la sucursal y la matriz se produce entre un Estado EEE y otro que no lo es entonces estamos ante una transferencia internacional de datos.

32

Consultas
Por qu no se refleja en la pgina web de la AEPD con ms rapidez las modificaciones, supresiones o altas de ficheros?

El plazo mximo para dictar y notificar la resolucin sobre inscripcin, modificacin y cancelacin de ficheros es de un mes (art. 134 RLOPD). La duracin media en la inscripcin de ficheros es de 4 das, incluyendo la tramitacin de los que son objeto de requerimiento para subsanar deficiencias. El catlogo de ficheros de la WEB de la AEPD se actualiza diariamente con las inscripciones de altas, modificaciones y supresiones de ficheros que se vayan produciendo.

33

Consultas
Se mantienen los cdigos de inscripcin de los ficheros declarados por la extinta Agencia de Proteccin de Datos de la Comunidad de Madrid?

No. Los cdigos de inscripcin de los ficheros que hasta el pasado 31 de diciembre estaban inscritos en el Registro de la suprimida Agencia de Proteccin de Datos de la Comunidad de Madrid son los que asigna el Registro General de proteccin de datos de la AEPD. Se ha comunicado por carta a los responsables de ficheros de titularidad pblica de los Ayuntamientos de la Comunidad de Madrid la relacin de ficheros inscritos en el Registro de la AEPD, su cdigo de inscripcin, as como el que le fue asignado por la APDCM para su ms fcil localizacin con la finalidad de que se compruebe la situacin registral de los ficheros y, en su caso, se proceda a su actualizacin.

34

www.agpd.es
5 sesin anual abierta de la Agencia Espaola de Proteccin de Datos 35