RESOLUCIÓN
POR LA QUE SE APRUEBA RECOMENDACIÓN 1/2008, SOBRE EL TRATAMIENTO DE DATOS
PERSONALES EN LOS SERVICIOS SOCIALES DE LA ADMINISTRACIÓN DE LA COMUNIDAD DE
MADRID Y EN LOS SERVICIOS SOCIALES DE LOS ENTES LOCALES DE LA COMUNIDAD DE
MADRID
Resolución de 14 de abril de 2008, del Director de la Agencia de
Protección de Datos de la Comunidad de Madrid, por la que se aprueba
Recomendación 1/2008, sobre el tratamiento de datos personales en los Servicios
Sociales de la Administración de la Comunidad de Madrid y en los Servicios
Sociales de los Entes Locales de la Comunidad de Madrid. ()
I
La Ley 8/2001, de 13 de julio, de
Protección de Datos de Carácter Personal en la Comunidad de Madrid,
atribuye a la Agencia de Protección de Datos de la Comunidad de Madrid, en su
artículo 15.a), la competencia de velar por el cumplimiento de la legislación
de protección de datos y controlar su aplicación. En este sentido, y para
cumplir con la citada competencia, el artículo 18 del Decreto 67/2003, de 22
de mayo, por el que se aprueba el Reglamento de Tutela de Derechos y de Control
de Ficheros de datos de carácter personal, habilita a la Agencia de
Protección de Datos de la Comunidad de Madrid a llevar a cabo planes
sectoriales de inspección.
Según el segundo párrafo del citado
artículo 18, estos planes consistirán en analizar por cada uno de los sectores
de la actividad administrativa pública, cuyos ficheros se encuentren bajo el
ámbito de aplicación de la Ley 8/2001, de 13 de julio, cuál es el grado
de aplicación y cumplimiento que dichos ficheros tienen respecto a los
principios de protección de datos, así como garantizar que los responsables de
los ficheros públicos hacen efectivo el cumplimiento de los derechos de acceso,
rectificación, cancelación y oposición.
II
En cumplimiento de dicho mandato, la
Agencia de Protección de Datos de la Comunidad de Madrid aprobó el 1 de marzo
de 2007 el "Plan de Inspección de
Servicios Sociales 2007", con el
objetivo de inspeccionar a responsables de ficheros de los Servicios Sociales
de la Comunidad de Madrid, incluyendo tanto a organismos públicos de la
Comunidad de Madrid cuya función es la prestación de servicios sociales como a
organismos de los Entes Locales de la Comunidad de Madrid que también ejercen
tal función.
Así, respecto a los primeros, se han
inspeccionado los ficheros: "Ingreso
Madrileño de Integración" y "Reconocimiento de Minusvalías", de la Dirección General de Servicios
Sociales de la Consejería de Servicios Sociales y Familia; "Seguimiento de la Unidad de Orientación a la
Familia ante momentos difíciles", de la
Dirección General de Familia de la Consejería de Servicios Sociales y Familia; "Historia Integral Residente", del Servicio Regional de Bienestar Social;
"Adopciones"
y "Comisión de Tutela", del Instituto Madrileño del Menor y la
Familia; "Registro y Seguimiento de
Adultos Tutelados", de la Agencia
Madrileña para la Tutela de Adultos; "Historia
Social" e "Historia
Médica", de la Residencia de Personas
Mayores Goya. En este último caso, se seleccionó una Residencia de Personas
Mayores teniendo en cuenta que todas las Residencias Públicas de la Comunidad
de Madrid tienen los mismos ficheros, de manera que la información obtenida en
la inspección de esta Residencia permite conocer la situación de las demás.
Respecto a los segundos, se han
inspeccionado los ficheros "Servicios
Sociales" del Ayuntamiento de
Fuenlabrada y "Sistema de Información
de Usuarios de Servicios Sociales" del
Área de Bienestar Social del Ayuntamiento de Coslada.
También se han inspeccionado los
ficheros de datos personales gestionados por el Servicio de Atención a Mujeres
Maltratadas del Ayuntamiento de Madrid y por el Centro de Acogida Temporal y
Atención a Personas de Origen Subsahariano del Ayuntamiento de Madrid. Estos
dos últimos organismos fueron seleccionados atendiendo a la problemática actual
relativa a la violencia de género y al movimiento migratorio actual que se
produce en el municipio de Madrid.
En definitiva, se ha analizado una gran
diversidad de ficheros de datos personales gestionados por los servicios
sociales, todos ellos con datos personales que requieren medidas de seguridad
de nivel alto, que contienen datos personales heterogéneos, para conocer de
primera mano cuál es el tratamiento que se les está dando y el grado de cumplimiento
de la normativa de protección de datos.
III
Las inspecciones han tenido como
objetivo conocer el grado de adecuación a la normativa de protección de datos,
para posteriormente dictar en relación con cada organismo una Instrucción
singular con medidas específicas con el objeto de que cada uno de ellos cumpla
con lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección
de Datos de Carácter Personal (en adelante, LOPD).
En este sentido, en las inspecciones
realizadas se ha comprobado el cumplimiento del principio de calidad de datos;
del principio de información; del principio del consentimiento; del tratamiento
de los datos especialmente protegidos, incluyendo el tratamiento de los datos
relativos a la salud; de la seguridad de los datos; del deber de secreto; del
principio de comunicación o cesión de datos; del acceso a datos por cuenta de
terceros; de las transferencias internacionales, y de los derechos de las
personas (derecho de acceso, derecho de cancelación, derecho de oposición y
derecho de rectificación).
Realizadas las comprobaciones
anteriores, la Agencia de Protección de Datos de la Comunidad de Madrid ha
elaborado una Instrucción individual por cada organismo inspeccionado con la
finalidad de adecuar el tratamiento de los datos personales de los usuarios de
los servicios sociales a la normativa de protección de datos personales.
IV
En relación con las medidas de
seguridad de los ficheros no informatizados (manuales), se ha comprobado el
grado de adecuación de las mismas a lo dispuesto en la Recomendación 1/2005, de
5 de agosto, de la Agencia de Protección de Datos de la Comunidad de Madrid,
sobre Archivo, Uso y Custodia de la Documentación que compone la Historia
Social no informatizada por parte de los Centros Públicos Sociales de la
Comunidad de Madrid. En este sentido, el Real Decreto 1720/2007, de 21 de
diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica
15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal,
regula de manera específica, por primera vez, las medidas de seguridad que
deben aplicarse a los ficheros no informatizados (manuales).
V
El "Plan
de Inspección de Servicios Sociales 2007"
de la Agencia de Protección de Datos de la Comunidad de Madrid establece que,
una vez enviadas a cada organismo inspeccionado las Instrucciones individuales,
se proceda a elaborar y aprobar una Recomendación para garantizar el
cumplimiento del derecho fundamental a la protección de datos personales por
parte de los Servicios Sociales de la Comunidad de Madrid y de los Servicios
Sociales de los Entes Locales de la Comunidad de Madrid. Esta Recomendación no
solo va dirigida a los organismos que han sido objeto de una inspección en el
marco de dicho Plan, sino también al resto de organismos de Servicios Sociales
de la Comunidad de Madrid, tanto a los que forman parte de la Administración
Autonómica como a los que forman parte de la Administración Local.
Tanto de las inspecciones realizadas
como de las Instrucciones individualizadas de adecuación a la normativa de
protección de datos, se extraen una serie de criterios generales que pueden ser
aplicados al resto de organismos prestadores de Servicios Sociales de la
Comunidad de Madrid y de los Entes Locales de la Comunidad de Madrid, aunque los
mismos no hayan sido inspeccionados.
En este sentido, se han advertido
deficiencias, que se exponen en la presente Recomendación, que deben ser
conocidas por el resto de los organismos para que de esta forma se ajusten a lo
dispuesto en la normativa de protección de datos.
VI
Por todo ello, en el ámbito de
actuación al que se refiere el artículo 41 de la Ley Orgánica 15/1999, de 13 de
diciembre, de Protección de Datos de Carácter Personal, y en ejercicio de la
competencia que le atribuye el artículo 15.d) de la Ley 8/2001, de 13 de
julio, de Protección de Datos de Carácter Personal en la Comunidad de Madrid,
esta Agencia de Protección de Datos de la Comunidad de Madrid ha estimado la
necesidad de dictar una Recomendación para adecuar los tratamientos de datos
personales realizados por los Servicios Sociales de la Comunidad de Madrid.
Esta Recomendación no tiene carácter
normativo, sino que es un documento programático, que debe servir de referencia
para los organismos públicos competentes en materia de Servicios Sociales de la
Comunidad de Madrid, sin perjuicio del carácter imperativo de la normativa
citada en la misma.
En su virtud, de conformidad con lo
dispuesto en el artículo 15.d) de la Ley 8/2001, de 13 de julio, de
Protección de Datos de Carácter Personal en la Comunidad de Madrid,
DISPONGO
Artículo 1.-
Objeto
Esta Recomendación tiene como objeto
adecuar el tratamiento de los datos personales de los usuarios de los Servicios
Sociales de la Comunidad de Madrid y de los Servicios Sociales de los Entes Locales
de la Comunidad de Madrid a la normativa vigente en materia de protección de
datos personales.
Artículo 2.-
Ámbito de aplicación
Los criterios contenidos en esta
Recomendación son de aplicación a los ficheros, tanto informáticos como
manuales, que sean titularidad de los Servicios Sociales de la Administración
de la Comunidad de Madrid y de los Entes Locales que forman parte de la
Comunidad de Madrid, siempre y cuando la personalidad jurídica de los mismos
sea pública y la finalidad de estos ficheros sea la prestación de servicios
sociales.
Esta Recomendación no será de
aplicación a los ficheros de datos personales cuyos responsables sean los
Servicios Sociales que se hayan constituido en forma de sociedad anónima, de
conformidad con lo previsto en la Ley 1/1984, de 19 de enero, de Administración
Institucional de la Comunidad de Madrid, y en la Ley 2/1985, de 2 de abril, de
Bases de Régimen Local, ni a los ficheros de datos personales cuyos
responsables sean Servicios Sociales concertados o privados, sin perjuicio de
que el contenido de esta Recomendación sea utilizado por los citados Servicios
Sociales para cumplir con la legislación sobre protección de datos.
Artículo 3.-
Procedimiento de elaboración de la disposición de carácter general e
inscripción de ficheros de Servicios Sociales
3.1. La creación, notificación e inscripción de ficheros relativos al
tratamiento de datos por parte de los Servicios Sociales de la Administración
de la Comunidad de Madrid y de los Entes Locales que forman parte de la
Comunidad de Madrid se realizará mediante disposición de carácter general, que
será publicada en el Boletín Oficial de la Comunidad de Madrid o en el "Diario Oficial"
que corresponda, de acuerdo con lo dispuesto por el artículo 20 de la Ley
Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter
Personal, y por el artículo 4 de la Ley 8/2001, de 13 de julio, de
Protección de Datos de Carácter Personal en la Comunidad de Madrid.
3.2. Con carácter general, el procedimiento para la creación, notificación e
inscripción de ficheros de los Servicios Sociales de la Administración de la
Comunidad de Madrid y de los Entes Locales que forman parte de la Comunidad de
Madrid, se ajustará a lo dispuesto por el Decreto 99/2002, de 13 de junio, de
regulación del procedimiento de elaboración de disposiciones de carácter
general de creación, modificación y supresión de ficheros que contienen datos
de carácter personal, así como su inscripción en el Registro de Ficheros de
Datos Personales.
En el ámbito de la Administración
General de la Comunidad de Madrid, y de conformidad con lo previsto en el
artículo 4.1 de la Ley 8/2001, de 13 de julio, así como en el artículo
50.3 de la Ley 1/1983, de 13 de diciembre, de Gobierno y Administración de la
Comunidad de Madrid, la aprobación de la disposición se realizará por Orden de
la Consejería de Familia y Asuntos Sociales o por Orden de la Consejería de
Inmigración y Cooperación.
Por lo que se refiere a los Organismos
Autónomos, los Órganos de Gestión y demás Entidades de Derecho Público
previstos en la Ley 1/1984, de 19 de enero, Reguladora de la Administración
Institucional de la Comunidad de Madrid, así como a aquellos Entes del sector
público de la Comunidad de Madrid dotados de especial autonomía e
independencia, y los previstos en el artículo 6 de la Ley 9/1990, de 8 de
noviembre, Reguladora de la Hacienda de la Comunidad de Madrid, la competencia
para la aprobación de la disposición se ajustará a lo previsto en el artículo
4.1 de la Ley 8/2001, de 13 de julio, así como en la Ley 1/1984, de 19
de enero, o en la normativa específica de creación o regulación de dichos
Entes.
Los Entes Locales que forman parte de
la Comunidad de Madrid deberán aprobar la correspondiente ordenanza municipal o
cualquier otra disposición de carácter general en los términos previstos en la
Ley 7/1985, de 2 de abril, Reguladora de Bases de Régimen Local, y, en su caso,
en la legislación autonómica. En relación con el Ayuntamiento de Madrid, se
estará, además, a la regulación específica contenida en la Ley 22/2006, de 4 de
julio, de Capitalidad y de Régimen Especial de Madrid.
3.3. Salvo que el ordenamiento jurídico específicamente aplicable pueda
establecer un procedimiento distinto, la iniciativa en la tramitación del
procedimiento de elaboración de las disposiciones de carácter general de
creación, modificación o supresión de ficheros referidos al tratamiento de
datos sociales corresponderá al órgano titular de la función específica en que
se concrete la competencia sobre la materia a cuyo ejercicio sirva
instrumentalmente el tratamiento.
3.4. Durante el proceso de elaboración de la disposición de carácter general
se recabarán, además de los informes y dictámenes previos preceptivos, cuantos
estudios y consultas se estimen convenientes para garantizar la oportunidad y
legalidad del texto del proyecto.
3.5. Las disposiciones de creación de ficheros de datos de carácter
personal, relativas al tratamiento de datos por parte de los Servicios Sociales
citados, deberán indicar en todo caso:
a) El Órgano,
Ente o autoridad administrativa responsable del tratamiento de los datos.
b) El Órgano,
Servicio o Unidad ante el que se deberán ejercitar los derechos de acceso,
rectificación, cancelación y oposición (este apartado se cumplimentará solo en
el caso de que sea diferente al Responsable del tratamiento).
c) El nombre y
la descripción del fichero relativo al tratamiento de datos sociales que se
crea.
d) El carácter informatizado o
manual estructurado del tratamiento realizado.
e) El sistema de
información al que pertenezca el tratamiento de datos sociales, en el caso de
que el fichero se encuentre informatizado.
f) Las medidas
de seguridad que se apliquen, con indicación del nivel básico, medio o alto
exigible.
g) Los tipos de datos de carácter
personal que se incluirán en el mismo.
h) La descripción
detallada de la finalidad del fichero y de los usos previstos para el mismo.
i) Las personas
o colectivos sobre los que se pretenda obtener datos o que resulten obligados a
suministrarlos.
j) La procedencia o el
procedimiento de recogida de los datos.
k) Los órganos y
Entidades destinatarios de las cesiones previstas, indicando de forma expresa
las que constituyan transferencias internacionales.
3.6. En el caso de que se modifique uno o varios ficheros, el proyecto de
disposición de carácter general deberá contener principalmente:
a) El nombre del
fichero que se modifica y el número de registro con el que figura inscrito en
el Registro de Ficheros de Datos Personales de la Agencia de Protección de
Datos de la Comunidad de Madrid.
b) El apartado
de la inscripción que se modifica, sea uno o varios de los once que se recogen
en la disposición de carácter general de los ficheros.
c) El contenido íntegro de cada uno
de los apartados que se modifiquen.
3.7. Para cada uno de los ficheros que se supriman, el proyecto de
disposición de carácter general deberá contener:
a) El nombre del
fichero que se suprime y el número de registro con el que figura inscrito en el
Registro de Ficheros de Datos Personales de la Agencia de Protección de Datos
de la Comunidad de Madrid.
b) El motivo por
el que se suprime el fichero y el destino de los datos contenidos en el mismo.
c) Las previsiones que se adopten
para su destrucción.
3.8. Elaborado el proyecto de disposición de carácter general, se abrirá una
fase de alegaciones, durante un plazo no inferior a quince días hábiles, con el
objeto de que las organizaciones o asociaciones legalmente constituidas y con
intereses legítimos en el proyecto se pronuncien sobre el mismo. Este trámite
no será necesario si las organizaciones o asociaciones referidas ya hubieran
informado el proyecto en la fase previa de redacción.
3.9. Con carácter previo a su aprobación, el proyecto de disposición de
carácter general, junto con las alegaciones formuladas, se remitirá a la
Agencia de Protección de Datos de la Comunidad de Madrid para informe
preceptivo.
3.10. La Agencia de Protección de Datos de la Comunidad de
Madrid podrá recabar del Responsable del tratamiento cuanta información estime
necesaria al objeto de comprobar la adecuación del proyecto de disposición de
carácter general a la normativa vigente en materia de protección de datos. A
tal efecto, efectuará los requerimientos necesarios en el plazo de quince días
establecido por el artículo 10.3 del Decreto 99/2002, de 13 de junio, al objeto
de que el responsable realice las subsanaciones o aportaciones de información
solicitadas.
3.11. La falta de información, el no aportar toda la
documentación indicada o la no realización de las subsanaciones requeridas en
plazo será motivo de emisión de informe no favorable al proyecto de disposición
de carácter general relativa al tratamiento de datos personales de carácter
social que se esté tramitando.
3.12. Una vez que disponga de toda la documentación
indicada, la Agencia de Protección de Datos de la Comunidad de Madrid emitirá
el informe preceptivo que se le asigna como función en el artículo 15.g) de la Ley
8/2001, de 13 de julio, en el plazo máximo de quince días, notificándoselo
al órgano encargado de la tramitación del proyecto de disposición de carácter
general y procediendo a devolverle toda la documentación.
3.13. Posteriormente, se remitirá toda la documentación a la
Secretaría General Técnica de la Consejería correspondiente, o al Órgano que
resulte competente en virtud de lo dispuesto en el artículo 11 del Decreto
99/2002, de 13 de junio, para que emita informe preceptivo de conformidad con
el artículo 5.7 de la Ley 8/2001, de 13 de julio, fijándose a tal efecto
un plazo máximo de quince días.
3.14. En las inspecciones efectuadas en el marco de
actuación del "Plan de Inspección de
Servicios Sociales 2007" se ha
advertido que dos organismos no tenían aprobada la correspondiente disposición
general de creación del fichero inspeccionado, por lo que se les ha instado a
la aprobación de la misma.
Asimismo, en otro de los organismos
inspeccionados se comprobó que se recababan datos personales que no estaban
previstos en la disposición general de creación del fichero, por lo que se
instó a dicho organismo para que se aprobara una disposición general de
modificación del citado fichero.
3.15. Por otra parte, se recomienda a la Consejería de
Familia y Asuntos Sociales que la autorización administrativa de creación de
los Centros de Servicios Sociales y Servicios de Acción Social regulada en los
artículos 8 y siguientes de la Ley 11/2002, de 18 de diciembre, de Ordenación
de la Actividad de los Centros y Servicios de Acción Social y de Mejora de la
Calidad en la Prestación de los Servicios Sociales de la Comunidad de Madrid,
no sea concedida hasta que el respectivo Centro o Servicio de Acción Social que
haya solicitado dicha autorización no haya creado e inscrito sus ficheros de
datos de carácter personal.
Artículo 4.-
Calidad de los datos sociales
4.1. Los Servicios Sociales de la Comunidad de Madrid y los Servicios
Sociales de los Entes Locales de la Comunidad de Madrid deben determinar cuáles
son los datos que se pueden recoger y cuáles no, recabando solo aquellos datos
sociales que sean pertinentes y apropiados a la finalidad que se persigue y,
además, realmente necesarios, es decir, no excesivos, debiendo establecer la
finalidad de forma explícita y determinada.
4.1.1. Con
carácter general, la Ley 11/2003, de 27 de marzo, de Servicios Sociales de la
Comunidad de Madrid, regula las diferentes prestaciones que pueden realizar los
Servicios Sociales de esta Comunidad, distinguiendo tres tipos de prestaciones:
De carácter técnico, de carácter económico y de carácter material, de acuerdo
con las siguientes definiciones:
a) De carácter
técnico: Información de los recursos sociales disponibles, y del derecho de
acceso a los mismos, para facilitar la igualdad de oportunidades; valoración
individualizada de la situación y de las capacidades de cada persona;
orientación hacia los medios más adecuados para responder a las necesidades y
demandas planteadas; asesoramiento, apoyo y acompañamiento social a personas o
grupos para la superación de situaciones problemáticas; intervención social,
psicológica o sociológica de orientación social para favorecer la adquisición o
recuperación de funciones y habilidades personales y sociales que faciliten la
integración y la convivencia social y familiar; protección jurídico-social de
las personas con capacidad de obrar limitada que se encuentren en situación de
desamparo; cualquier otro acto profesional que se considere necesario para
garantizar una adecuada atención social.
b) De carácter
económico: La renta mínima de inserción; ayudas económicas de emergencia
social, de carácter extraordinario y no periódico, destinadas a facilitar la
superación de situaciones en las que concurra una necesidad económica
coyuntural; ayudas económicas temporales para apoyar procesos de integración
social y desarrollo personal; ayudas económicas a particulares para el fomento
del acogimiento familiar de menores de edad, personas mayores y personas con
discapacidad; cheque-servicio, modalidad de prestación económica otorgada a
personas o a familias para que con ella atiendan al pago de centros o servicios
que hayan sido indicados para responder con idoneidad a su situación; ayudas
económicas de análoga o similar naturaleza y finalidad que las anteriores;
pensiones no contributivas de invalidez y de jubilación de la Seguridad Social,
pensiones asistenciales para ancianos y enfermos incapacitados para el trabajo
del extinguido Fondo Nacional de Asistencia Social, así como el subsidio de
garantía de ingresos mínimos, el subsidio por ayuda de tercera persona, ambos
con vigencia transitoria, y el subsidio de movilidad y compensación para gastos
de transporte, previstos en la Ley 13/1982, de 7 de abril, de Integración
Social de los Minusválidos.
c) De carácter
material: la atención residencial, que comporta alojamiento, continuado o
temporal, sustitutivo del hogar; la atención diurna, que ofrece cuidados
personales, actividades de promoción y prevención o aplicación de tratamientos
de forma ambulatoria; atención domiciliaria, consistente en ofrecer un conjunto
de atenciones a personas o familias en su propio domicilio, para facilitar su
desenvolvimiento y permanencia en su entorno habitual; teleasistencia, soporte
instrumental que facilita una atención y apoyo personal y social continuos,
permitiendo la detección de situaciones de crisis y la intervención inmediata
en las mismas; manutención, que consiste en proporcionar alimentos preparados
para su consumo, ya sea en locales de atención colectiva o en el propio
domicilio del usuario; ayudas instrumentales que permitan mantener la autonomía
de la persona para desenvolverse en su medio; y cualesquiera otras de
naturaleza similar que se establezcan como respuesta a la evolución de las
necesidades de la población y de los avances en las formas de atención.
4.1.2. En
consecuencia, y en aplicación del principio de calidad, los Servicios Sociales
deben recabar única y exclusivamente aquellos datos que sean estrictamente
necesarios para la gestión del servicio social solicitado. Asimismo, y en el
caso de que se haya recabado algún dato o datos que no sean adecuados para
dicha gestión, se debe proceder por el Servicio Social que lo haya recabado a
la cancelación o borrado de los mismos, sin perjuicio de la obligación de
bloqueo, conservándose únicamente a disposición de las Administraciones
Públicas, Jueces y Tribunales, para la atención de las posibles
responsabilidades nacidas del tratamiento, durante el plazo de prescripción de
éstas. Cumplido este plazo deberá procederse a la supresión.
En aquellos supuestos en que la
solicitud para una prestación social se haya realizado por medios electrónicos
en los que el usuario declare datos personales que obren en poder de las
Administraciones Públicas, el órgano destinatario de la solicitud podrá
efectuar en el ejercicio de sus competencias las verificaciones necesarias para
comprobar la autenticidad de los datos.
Así, y a modo de ejemplo, podemos citar
que, durante la ejecución del "Plan de
Inspección de Servicios Sociales 2007",
en una de las inspecciones se constató que se había recabado el dato personal
de la homosexualidad de un usuario, por lo que, atendiendo a que dicho dato no
era necesario, esta Agencia de Protección de Datos de la Comunidad de Madrid ha
instado el borrado o cancelación del dato personal de la homosexualidad.
4.2. Por otra parte, los datos personales recabados en los ficheros de los
Servicios Sociales para la gestión de la correspondiente prestación no pueden
utilizarse para una finalidad incompatible con la que motivó su recogida. No
obstante, se considera compatible el uso posterior de estos datos con fines
históricos, estadísticos y científicos siempre y cuando este uso posterior se
realice de forma disociada, es decir, de manera que no pueda identificarse al
titular del dato personal.
Especial consideración merece el
tratamiento de los datos estadísticos, ya que a través del uso estadístico de
los datos sociales se van a poder analizar las necesidades y las demandas
sociales tanto del Plan Estratégico de Servicios Sociales como de los Planes
Sectoriales y de los Planes o Programas integrales para municipios, comarcas,
barrios u otros ámbitos territoriales que lleva a cabo la Comunidad de Madrid
con participación de los municipios, así como cualquier otro Plan o Instrumento
de Planificación análogo que los citados municipios que presten servicios
sociales elaboren para la detección de necesidades y demandas sociales.
En todos estos casos, cuando se
utilicen datos de carácter personal deberá hacerse de manera disociada, no
pudiendo asociarse los datos utilizados a persona física identificada o
identificable.
4.3. El principio de calidad supone también que el acceso a la información
no pueda realizarse de manera indiscriminada a toda la que figure en los
respectivos ficheros por todos los empleados de las respectivas unidades de los
Servicios Sociales correspondientes, de manera que el acceso debe estar
directamente relacionado con las funciones que desarrollen cada uno de los
trabajadores, debiendo definirse perfiles de acceso a cada uno de ellos según
las funciones que tengan encomendadas.
En este sentido, en las inspecciones
realizadas en el marco del "Plan de
Inspección de Servicios Sociales 2007"
se ha comprobado que mientras en algunas Unidades se especifican claramente los
perfiles de acceso a los distintos bloques de datos (social y sanitario,
fundamentalmente), en otras el acceso a los datos personales de los usuarios de
los Servicios Sociales por parte del personal al servicio de estos se realiza
de manera indiscriminada, por lo que se ha recomendado que se configuren
perfiles de acceso para que cada trabajador acceda a los datos personales de
los usuarios de los Servicios Sociales que sean necesarios para realizar sus
respectivas funciones laborales. Asimismo, en el supuesto de que los Servicios
Sociales de la Administración de la Comunidad de Madrid y los Servicios
Sociales de los Entes Locales tengan alumnos en prácticas o en cualquier otro
régimen de formación, estos no podrán acceder a ningún tipo de datos de
carácter personal de los usuarios, facilitándoles, en todo caso, la
documentación de manera disociada.
4.4. Otra manifestación del principio de calidad de datos se encuentra en la
cancelación de los datos de carácter personal cuando hayan dejado de ser
necesarios o pertinentes para la finalidad para la cual hubieran sido recabados
o registrados. La cancelación supone el bloqueo de los datos, conservándose
únicamente a disposición de las Administraciones Públicas, Jueces y Tribunales
para la atención de las posibles responsabilidades nacidas del tratamiento
durante el plazo de prescripción de éstas. Cumplido el citado plazo deberá
procederse a la supresión.
En los supuestos en que no exista una
regulación específica sobre los períodos de mantenimiento de los datos
personales de los usuarios de los Servicios Sociales, y teniendo en cuenta,
además, que el responsable del fichero es el órgano administrativo designado en
la disposición de creación del fichero al que corresponde decidir sobre la
finalidad, contenido y uso del tratamiento, debe ser el citado responsable del
fichero el que decida cuándo los datos han dejado de ser necesarios para la
finalidad para la cual fueron recabados y proceder a la cancelación y borrado
de los mismos. No obstante, esta cancelación y posterior borrado de los datos
personales está condicionada a que haya transcurrido el tiempo legalmente
establecido para ejercer las acciones civiles, penales o administrativas que
puedan derivarse del tratamiento de los datos personales.
De esta forma, en las Instrucciones
individualizadas enviadas a los organismos inspeccionados se ha instado a los mismos
a que procedan a la cancelación de los datos personales de los usuarios de los
Servicios Sociales cuando hayan dejado de ser necesarios para la finalidad que
motivó su recogida, no debiendo ser conservados de forma que permitan la
identificación de los usuarios de los Servicios Sociales durante un período de
tiempo superior al necesario para los fines en virtud de los cuales han sido
recabados.
4.5. En las inspecciones realizadas en el marco de ejecución del citado "Plan de Inspección",
se ha comprobado el grado de cumplimiento en relación con las historias
sociales en formato papel de lo dispuesto en la Recomendación 1/2005, de 5 de
agosto, de la Agencia de Protección de Datos de la Comunidad de Madrid, sobre
Archivo, Uso y Custodia de la Documentación que compone la Historia Social no
informatizada. En este sentido, en las historias sociales en formato papel, en
cuya documentación puede encontrarse la ficha social, el proyecto de
intervención social y el informe social, a los efectos de la cancelación de
datos personales, deberán diferenciarse dos momentos de la historia social:
4.5.1. Cuando la
historia social está "activa" por tener utilidad para la prestación
social del usuario. En este supuesto, deberá conservarse, durante el tiempo en
que se esté prestando la asistencia social y, con posterioridad, un mínimo de
tiempo desde que dicha asistencia social finalice y se considere que puede ser
útil para posibles nuevas actuaciones. En relación con este plazo, es
susceptible de aplicación analógica el plazo que la Ley 41/2002, de 14 de
noviembre, básica reguladora de la autonomía del paciente y de derechos y
obligaciones en materia de información y documentación clínica, establece para
la historia clínica, esto es, cinco años, como mínimo, contados desde que haya
finalizado la prestación social correspondiente.
4.5.2. Cuando,
transcurrido el plazo anterior, la historia social pierde su utilidad
convirtiéndose en "pasiva", debiendo conservarse únicamente a efectos
judiciales. En este caso, se deberá trasladar la documentación de la historia
social al archivo central correspondiente.
4.6. No se considerará finalidad incompatible el uso de los datos personales
contenidos en los ficheros de los Servicios Sociales de la Comunidad de Madrid
y de los Entes Locales del ámbito territorial de la Comunidad de Madrid para el
envío de comunicaciones personalizas para realizar campañas informativas de
interés público-social para los sectores de población afectados.
Especialmente, la Administración
Pública u Órgano administrativo competente podrá enviar comunicaciones
personalizadas siempre que estas vayan referidas a la apertura de nuevas
instalaciones de servicios sociales, así como a nuevas prestaciones sociales,
siempre y cuando, y como ya se ha dicho en el párrafo anterior, vayan dirigidas
a dichos sectores de población, o, en otras palabras, a usuarios potenciales.
No obstante lo anterior, se reputará
especialmente incompatible con la finalidad del fichero el tratamiento de los
datos personales para el envío de comunicaciones personalizadas cuando, a
través de la información o de la presentación de la campaña promovida, se
pretenda la difusión de mensajes de contenido político.
En alguna de las inspecciones realizadas
durante la ejecución del "Plan de
Inspección de Servicios Sociales 2007"
se ha comprobado que los Servicios Sociales realizan campañas de información de
nuevas prestaciones, si bien se ha instado, a través de las Instrucciones
individuales dirigidas a los organismos inspeccionados, a que estas campañas
tengan como destinatarios, únicamente, a los colectivos afectados por dichas
prestaciones.
Artículo 5.-
Derecho de información en la recogida de datos sociales
5.1. Los organismos de Servicios Sociales que recaben datos personales para
la gestión de las prestaciones sociales deben informar a los usuarios, cuando
se proceda a la recogida de sus datos personales, en los siguientes términos:
a) De la
existencia de un fichero o tratamiento de datos de carácter personal, de la
recogida de estos y de los destinatarios de la información.
b) Del carácter
obligatorio o facultativo de su respuesta a las distintas preguntas que les
sean planteadas.
c) De las consecuencias de la
obtención de los datos o la negativa a suministrarlos.
d) De la
posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y
oposición.
e) De la identidad y dirección del
responsable del fichero.
Este deber de información en la recogida
de datos personales deberá llevarse a cabo a través de un medio que permita
acreditar su cumplimiento, debiendo conservarse mientras persista el
tratamiento de los datos del usuario. Los organismos prestadores de servicios
sociales, y que sean responsables de ficheros, deberán conservar el soporte en
el que conste el cumplimiento del deber informar. En el caso de almacenamiento
de los soportes, los centros podrán utilizar medios informáticos o telemáticos,
concretamente, podrán proceder al escaneado de la documentación en soporte
papel, siempre y cuando se garantice que en dicha automatización no ha mediado
alteración alguna de los soportes originales.
Según se ha constatado durante la
ejecución del "Plan de Inspección de
Servicios Sociales 2007", en la mayoría
de los casos, la recogida de datos personales se realiza mediante formularios o
impresos, o a través de entrevista personal, si bien también cabe la
posibilidad de que los datos personales se recaben mediante otros instrumentos,
tales como el teléfono, Internet o mensajes SMS. En estos casos, también se
deberá dar cumplimiento a lo dispuesto en el artículo 5 de la LOPD.
5.2. Asimismo, también se comprobó que varios de los organismos
inspeccionados no cumplían plenamente con el derecho de información en la
recogida de datos personales, verificándose que los formularios que a
continuación se enumeran no cumplen con el artículo 5 de la LOPD, ya que si
bien existe una cláusula informativa, la misma no se ajusta con exactitud al
citado artículo: "Pensiones no
contributivas de la Seguridad Social", "Solicitud de autorización de centros y
servicios sociales", "Solicitud de estancia temporal en residencia
para personas mayores", "Protección a las familias numerosas", "Solicitud
de inscripción en el Registro de Entidades de acción social y servicios
sociales de la Comunidad de Madrid", "Solicitud de pensión de invalidez no
contributiva", "Solicitud
de pensión de jubilación no contributiva",
"Solicitud de plaza con carácter
temporal en centros para personas con minusvalías afectadas de deficiencia
mental", "Solicitud
de plaza con carácter temporal en centros de atención a personas con minusvalía
afectadas de discapacidad física y/o sensorial",
"Solicitud de plaza en centros de
atención a personas con minusvalía afectadas de discapacidad física y/o
sensorial", "Solicitud
de plaza para comedor para personas mayores",
"Solicitud de reconocimiento del grado
de minusvalía", "Solicitud de renta mínima de inserción", "Solicitud
de documentación necesaria para la apertura de expediente de adopción
internacional", "Solicitud de ayudas al estudio para alumnos con
discapacidad matriculados en las Universidades Públicas de la Comunidad de
Madrid, centros adscritos a las mismas y centros asociados a la UNED en Madrid", "Solicitud
y adjudicación de plaza en residencia de personas mayores financiadas
parcialmente", "Solicitud
y adjudicación de plazas en centros de día para atención diurna de personas
mayores" y "Solicitud
y adjudicación de plaza en residencia para personas mayores".
Todos los formularios citados en el
párrafo anterior deberán adecuarse al cumplimiento del artículo 5 de la LOPD,
sustituyendo la cláusula que figura en la actualidad en dichos documentos por
una cláusula cuyo texto dé cumplimiento a lo previsto en el citado artículo 5.
Se ha comprobado, igualmente, la
existencia de formularios de recogida de datos sin ninguna cláusula
informativa, como es el caso del formulario de "Solicitud
de acogimiento familiar de menores",
por lo se insta a los Servicios Sociales de la Administración de la Comunidad
de Madrid y a los Servicios Sociales de los Entes Locales del ámbito
territorial de la Comunidad de Madrid a que den efectivo cumplimiento al
derecho de información en la recogida de datos personales, procediendo a incluir
en todos los formularios de recogida de datos una cláusula que se ajuste a lo
dispuesto en el artículo 5 de la LOPD.
En los mismos términos deberá
informarse a los usuarios de los Servicios Sociales cuando los datos personales
se recaben por teléfono, mensajes SMS o Internet, debiendo articular el Centro
de Servicios Sociales algún procedimiento para cumplir con el citado deber con
carácter previo a la recogida de los datos.
Asimismo, también deben adecuarse al
cumplimiento del artículo 5 de la LOPD todos los formularios citados
anteriormente, sustituyendo la cláusula que figura en la actualidad en dichos
documentos por una cláusula cuyo texto dé cumplimiento a lo previsto en el
citado artículo 5 de la LOPD.
5.3. También se ha comprobado en las inspecciones realizadas en la ejecución
del "Plan de Inspección de Servicios
Sociales 2007" que algunos Servicios
Sociales informan del artículo 5 de la LOPD mediante carteles informativos.
Esta práctica se considera como correcta siempre y cuando los datos personales
de los usuarios no se recaben a través de formularios o impresos.
5.4. Para cumplir con este deber de información en la recogida de datos
personales, debe tenerse en cuenta el actual movimiento migratorio, de manera
que los Centros de Servicios Sociales, como mejor práctica, podrían informar a
los inmigrantes en su respectiva lengua de origen, en los términos descritos en
el artículo 5 de la LOPD. Así, durante la ejecución del "Plan de Inspección de Servicios Sociales 2007" se ha comprobado que algunos organismos
disponen de una cláusula para dar cumplimiento al artículo 5 de la LOPD en
inglés, francés, chino, árabe y rumano.
5.5. No obstante, cabe la posibilidad de no proceder al cumplimiento de este
deber cuando expresamente una Ley lo prevea, cuando el tratamiento tenga fines
históricos, estadísticos o científicos, o cuando la información al interesado
resulte imposible o exija esfuerzos desproporcionados a criterio de la Agencia
de Protección de Datos de la Comunidad de Madrid.
En el primero de los supuestos, no
existe en la actualidad ninguna norma con rango legal, ya sea en materia de
Servicios Sociales o en cualquier otra materia que afecte al ejercicio de las
funciones de las Administraciones Públicas, que exima del cumplimiento de este
deber.
El segundo de los supuestos tiene lugar
cuando los datos personales se utilizan de forma disociada, de manera que si
los datos personales no pueden identificar a una persona, se hace innecesario
cumplir con el deber de información.
En el tercero de los supuestos, el
responsable del fichero deberá solicitar de la Agencia de Protección de Datos
de la Comunidad de Madrid la exención de cumplimiento del derecho de
información, motivando en su petición las causas por las cuales el cumplimiento
de este derecho conlleva esfuerzos desproporcionados.
Artículo 6.-
Consentimiento del usuario para el tratamiento de sus datos sociales
6.1. Con carácter general, y de conformidad con el artículo 6.1 de la LOPD,
el usuario debe autorizar al Centro de Servicios Sociales correspondiente el
tratamiento de sus datos personales, pudiendo dicho usuario ejercer el control
sobre el uso de dichos datos personales.
Este consentimiento debe ser previo e
inequívoco al tratamiento, salvo en los casos previstos en el artículo 6.2 de
la LOPD: "Cuando así lo establezca una
norma con rango de Ley, cuando los datos sean recogidos para el ejercicio de
funciones propias de las Administraciones Públicas en el ámbito de sus
competencias, cuando se refieran a las partes de un contrato o precontrato de
una relación negocial, laboral o administrativa y los datos personales son
necesarios para el mantenimiento y cumplimiento de ésta, cuando el tratamiento
tenga por finalidad proteger un interés vital del interesado y éste se
encuentre física o jurídicamente incapacitado para dar su consentimiento y
cuando los datos figuren en fuentes accesibles al público".
Según se ha constatado durante la
ejecución del "Plan de Servicios
Sociales 2007", en la mayoría de los
casos el consentimiento de los usuarios de los Servicios Sociales es prestado
de conformidad con el artículo 6.1 de la LOPD, es decir, el usuario de los
Servicios Sociales presta su consentimiento para el tratamiento de sus datos
personales.
En este sentido, como buena práctica,
tal y como hacen algunos Servicios Sociales de los inspeccionados en el marco
del "Plan de Inspección de Servicios
Sociales 2007", se podría solicitar por
los Servicios Sociales el consentimiento de forma escrita.
No obstante lo anterior, también se ha
comprobado en las inspecciones realizadas que en otros supuestos no se presta
el consentimiento de los usuarios, puesto que es de aplicación la excepción del
artículo 6.2 de la LOPD, como, por ejemplo, cuando la Policía, Juzgados y
Tribunales tratan los datos personales de violencia de género para depurar
responsabilidades.
Por último, en el supuesto concreto de
la Agencia Madrileña para la Tutela de Adultos, al constituirse ésta en tutor
legal de las personas tuteladas, corresponde a dicha Agencia prestar el
consentimiento de los adultos tutelados que tiene a su cargo.
6.2. Debe diferenciarse la prestación del consentimiento del usuario,
previsto en el artículo 6 de la LOPD, del deber de información al que se
refiere el artículo 5 de la LOPD. En el primer caso, es el usuario el que
presta el consentimiento para el tratamiento de sus datos personales. En el
segundo caso, es el Centro de Servicios Sociales el que debe informar al
usuario, antes de la recogida de datos, en los términos descritos en el
artículo 5 de la presente Recomendación.
Además, debe tenerse presente en todo
momento que el consentimiento del usuario está referido solo y exclusivamente
al concreto uso de sus datos personales, es decir, a la concreta finalidad para
la que sus datos personales están siendo tratados, y que si se pretende
utilizar dichos datos para una finalidad distinta, deberá contarse previamente
con el consentimiento del usuario.
6.3. En relación con el tratamiento de los datos personales de menores,
también se ha comprobado que, con carácter general, en los organismos
inspeccionados se requiere el consentimiento de los padres o tutores cuando los
menores tienen menos de catorce años.
Asimismo, también con carácter general,
cuando el Instituto Madrileño del Menor y la Familia ejerce funciones de tutela
de menores en situación de desamparo, corresponde al mismo prestar el
consentimiento de los menores cuando la edad de estos es inferior a catorce
años. Si fuesen mayores de dicha edad, les corresponderá a estos prestar el
consentimiento.
No obstante lo anterior, en relación
con los mayores de catorce y menores de dieciséis años, tanto en el supuesto de
los menores sometidos a la patria potestad de sus padres, como de los menores
sobre los que ejerce funciones de tutela el Instituto Madrileño del Menor y la
Familia, cuando la prestación del consentimiento para el tratamiento de sus
datos personales se encuentre vinculado a situaciones de riesgo social que
puedan afectar a su integridad física o al libre desarrollo de su personalidad,
podrá recabarse el consentimiento de los padres o tutores legales.
Artículo 7.-
Datos sociales especialmente protegidos
7.1. El artículo 16.2 de la Constitución Española establece que nadie puede
ser obligado a declarar sobre su ideología, religión o creencias.
En este sentido, la LOPD considera como
datos especialmente protegidos los datos personales relativos a la ideología,
afiliación sindical, religión y creencias, así como los datos personales que
hagan referencia al origen racial, a la salud y a la vida sexual. Si bien
respecto a los primeros solo se puede llevar a cabo el tratamiento de los
mismos con el consentimiento expreso y por escrito del usuario, respecto a los
segundos, solo podrán ser recabados cuando por razones de interés general así
lo disponga una Ley o cuando el usuario consienta expresamente.
Cuando en relación con estos datos se
proceda a recabar el consentimiento, se advertirá al usuario acerca de su
derecho a no prestarlo.
7.2. No obstante lo anterior, y atendiendo al principio de universalidad
(los Servicios Sociales deben estar disponibles y ser accesibles para todos,
con independencia de quién esté obligado a su provisión o su pago) y al
principio de igualdad (derecho a acceder y utilizar los Servicios Sociales sin
discriminación por motivos de raza, sexo, discapacidad, orientación sexual, estado
civil, edad, ideología, creencia o cualquier otra condición o circunstancia
personal o social), los supuestos en los que se recaben datos relativos a la
ideología, religión, creencias, afiliación sindical, origen racial y vida
sexual tendrán carácter excepcional, y deberán venir justificados por el
carácter de la propia prestación social. Así, por ejemplo, el dato referente a
la raza podría ser recabado para el otorgamiento de una subvención a una
determinada etnia.
Por lo tanto, los Servicios Sociales de
la Administración de la Comunidad de Madrid y los Servicios Sociales de los
Entes Locales de la Comunidad de Madrid solo podrán recabar datos especialmente
protegidos en aquellos supuestos en que dichos datos sean estrictamente
necesarios para la gestión de los Servicios Sociales.
Se ha constatado durante la ejecución
del "Plan de Inspección de Servicios
Sociales 2007" que en algún supuesto se
exige el dato personal de la raza, como puede ser el caso de la atención a las
personas víctimas de la violencia de género o en el caso de adopciones
internacionales, así como el dato de la religión.
Si bien en el primer supuesto se recaba
el dato personal de la raza de acuerdo a lo descrito en el párrafo 7.1,
cumpliendo con la LOPD, en el segundo de los supuestos, al no solicitarse el
consentimiento expreso y por escrito para recabar el dato personal de la
religión, se ha instado al organismo inspeccionado a solicitarlo de tal forma.
Asimismo, también se constató en algunos casos la recogida de datos personales
relativos a la salud. Esta recogida se realiza de acuerdo a lo establecido en
el artículo 7 de la LOPD, es decir, en los casos en que por razones de interés
general así lo disponga una Ley o cuando el usuario consienta expresamente. En
ambos supuestos, se ha instado a los organismos que recaban este tipo de datos
especialmente protegidos a que adviertan a los usuarios acerca de su derecho a
no facilitarlos.
Artículo 8.-
Seguridad de los datos sociales
8.1. Los Servicios Sociales de la Administración de la Comunidad de Madrid y
los Servicios Sociales de los Entes Locales de la Administración de la
Comunidad de Madrid deberán adoptar las medidas técnicas y organizativas
necesarias para garantizar la seguridad de los datos personales integrados en
los ficheros, evitando que estos puedan perderse, alterarse, utilizarse o ser
accesibles por personas no autorizadas.
Las medidas de seguridad tanto para los
ficheros informatizados como para los ficheros manuales se encuentran reguladas
en el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el
Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de
protección de datos de carácter personal: En los artículos 89 a 104, las
relativas a los ficheros informatizados, y en los artículos 105 a 114, las
relativas a los ficheros no informatizados (manuales). El citado Real Decreto
1720/2007, de 21 de diciembre, ha introducido por primera vez las medidas de
seguridad para los ficheros no informatizados. En este sentido, la Agencia de
Protección de Datos de la Comunidad de Madrid, en su Recomendación 1/2005, de 5
de agosto, sobre Archivo, Uso y Custodia de la Documentación que compone la
Historia Social no informatizada por parte de los Centros Públicos de Servicios
Sociales de la Comunidad de Madrid, ya recomendaba una serie de medidas de
seguridad a adoptar en la historia social no informatizada, coincidentes en su
mayoría con las previstas en el citado Reglamento.
Asimismo, se distinguen tres niveles de
seguridad: Básico, medio y alto. En el ámbito que nos ocupa, con carácter
general, los ficheros de datos de carácter personal deberán tener las medidas
de seguridad de nivel medio o alto. A los ficheros que contengan datos
derivados de actos de violencia de género les corresponden también las medidas
de seguridad de nivel alto.
En este sentido, uno de los criterios
que se utilizó a la hora de seleccionar los ficheros inspeccionados en el marco
del "Plan de Inspección de Servicios
Sociales 2007" es que los mismos
tuviesen las medidas de seguridad de nivel alto.
8.2. Se ha constatado en las inspecciones efectuadas que las deficiencias en
materia de seguridad respecto a los ficheros informatizados son de diversa
índole. Así, en algún caso, no existía registro de incidencias, registro de
accesos, no estaba designado un responsable de seguridad o no se hacían copias
de seguridad, por lo que en la presente Recomendación se insta a los "Servicios Sociales"
que no cumplan con las medidas de seguridad a adecuar las mismas a la normativa
aplicable.
8.3. En relación con los ficheros no informatizados (manuales), se ha
comprobado si las medidas de seguridad cumplían con lo dispuesto en la
Recomendación 1/2005, de 5 de agosto, de la Agencia de Protección de Datos de
la Comunidad de Madrid, sobre Archivo, Uso y Custodia de la Documentación que
compone la Historia Social no informatizada por parte de los Centros Públicos
Sociales de la Comunidad de Madrid. En este sentido, si bien la mayoría de las
medidas de seguridad de este tipo de ficheros ya aparecían en la citada
Recomendación 1/2005, debe señalarse que los Servicios Sociales de la Comunidad
de Madrid y Servicios Sociales de los Entes Locales de la Comunidad de Madrid
deberán cumplir las medidas reguladas en el Real Decreto 1720/2007, de 21 de
diciembre.
Artículo 9.-
Del documento de seguridad de los ficheros con datos sociales
9.1. Una de las medidas de seguridad más importante y exigible en los tres
niveles de seguridad (básico, medio y alto) es el documento de seguridad. Si
bien esta medida era ya aplicable a los ficheros de datos personales
informatizados, con la entrada en vigor del Real Decreto 1720/2007, de 21 de
diciembre, esta medida de seguridad se aplica también a los ficheros no
informatizados (manuales).
El documento de seguridad podrá ser
único y comprensivo de todos los ficheros o bien individualizado para cada
fichero. También podrán elaborarse distintos documentos de seguridad agrupando
ficheros o tratamientos según el sistema de tratamiento utilizado para su
organización o bien atendiendo a criterios organizativos del responsable. En
todo caso, tendrá el carácter de documento interno de la organización, cuyo
contenido mínimo deberá ajustarse a lo dispuesto en el artículo 88.3 del Real
Decreto 1720/2007, de 21 de diciembre.
El documento de seguridad deberá
mantenerse en todo momento actualizado y será revisado siempre que se produzcan
cambios relevantes en el sistema de información, en el sistema de tratamiento
empleado, en su organización, en el contenido de la información incluida en los
ficheros o tratamientos o, en su caso, como consecuencia de los controles periódicos
realizados, debiendo adecuarse, en todo momento, a las disposiciones vigentes
en materia de seguridad de los datos de carácter personal.
9.2. En este sentido, en las inspecciones realizadas se ha comprobado que
cuatro de los ficheros inspeccionados no contaban con documento de seguridad,
por lo que a través de las correspondientes Instrucciones individuales se ha
instado a estos organismos a que adopten el citado documento de seguridad.
El resto de ficheros inspeccionados
cuenta con el citado documento y, en líneas generales, se puede decir que su
contenido se ajusta a lo dispuesto en el artículo 88.3 del Real Decreto
1720/2007, de 21 de diciembre. Solo en un caso, un fichero inspeccionado, pese
a contar con el documento de seguridad, su contenido no cumplía plenamente con
el citado artículo 88.3.
Artículo 10.-
De las auditorías de seguridad de los ficheros con datos sociales
10.1. Otra de las medidas de seguridad especialmente
importantes es el sometimiento cada dos años, y a partir del nivel medio de seguridad,
a una auditoría interna o externa que verifique el cumplimiento de las medidas
de seguridad del fichero auditado.
Los informes de auditoría serán
analizados por el responsable de seguridad competente, que elevará las
conclusiones al responsable del fichero o tratamiento para que adopte las
medidas correctoras adecuadas, y quedarán a disposición de la Agencia de
Protección de Datos de la Comunidad de Madrid.
10.2. En este sentido, la Agencia inició en el año 2004 un "Plan Anual de Auditorías", requiriendo a los responsables de ficheros
de nivel medio y alto el informe de auditoría de los mismos con los citados
niveles de seguridad. Una vez realizada la auditoría, los responsables de
ficheros envían el resultado de la misma a la Agencia para su estudio y
valoración.
10.3. En consecuencia, se ha recordado a los organismos
inspeccionados en el marco de ejecución del "Plan
de Inspección de Servicios Sociales 2007"
que sigan cumpliendo con la obligación de realizar una auditoría bienal de sus
respectivos ficheros y que el informe de auditoría sea enviado a la Agencia.
Artículo 11.-
El deber de secreto en los datos sociales
11.1. El deber de secreto, respecto a los datos personales
tratados, es una obligación que corresponde al responsable del fichero, al
encargado de tratamiento, si lo hubiera, y a todos aquellos que intervengan en
cualquier fase del tratamiento de datos de carácter personal, incluso
finalizada la relación laboral que permitió el acceso al fichero.
Este deber de secreto tiene que ser
cumplido por el personal al servicio de los Servicios Sociales de la
Administración de la Comunidad de Madrid y los Servicios Sociales de los Entes
Locales de la Comunidad de Madrid, tanto si se trata de personal funcionarial
como de personal laboral, y con independencia de que su relación laboral sea
indefinida o temporal.
La Agencia de Protección de Datos de la
Comunidad de Madrid recomienda la inclusión de cláusulas específicas en esta
materia, que deben suscribir las Administraciones Públicas con sus empleados
públicos.
La firma de este tipo de cláusulas
supone una garantía formal de cumplimiento de este deber. Durante la ejecución
del "Plan de Inspección de los
Servicios Sociales 2007" se comprobó
que no en todos los organismos inspeccionados los trabajadores habían firmado
un documento en el que se comprometieran a cumplir con este deber de secreto.
11.2. Además de la regulación general del deber de secreto
contenido en el artículo 10 de la LOPD, el ordenamiento jurídico ha regulado
este deber de secreto para determinados colectivos. Así, el artículo 95.1 de la
Ley 6/1995, de 28 de marzo, de Garantías de los Derechos de la Infancia y la
Adolescencia, establece que todas las personas que presten servicios en las
Instituciones Colaboradoras de Integración Familiar están obligadas a guardar
secreto de cuanta información obtengan en relación a los menores, tanto de los
guardados como de los que se promueva su acogimiento o adopción; o el artículo
40 del Decreto 147/2002, de 1 de agosto, por el que se aprueba el Reglamento de
la Renta Mínima de Inserción, en virtud del cual las Administraciones Públicas
actuantes tomarán las medidas oportunas para que, en el curso del procedimiento
administrativo, quede garantizada la confidencialidad de los datos
suministrados por los solicitantes.
11.3. Por lo tanto, y para cumplir con el deber de secreto,
se recomienda que todo el personal que trabaje en los Servicios Sociales de la
Administración de la Comunidad de Madrid o en los Servicios Sociales de los
Entes Locales de la Comunidad de Madrid firme un documento en el que se dé
efectivo cumplimiento al deber de secreto.
Artículo 12.-
Cesión de datos personales en materia de Servicios Sociales
12.1. La comunicación o cesión de datos personales tiene
lugar cuando los datos del usuario se comunican a un tercero. Para que se
produzca la cesión de datos personales en el ámbito de los Servicios Sociales
deben concurrir dos requisitos: El primero, que la cesión se realice para el
cumplimiento de fines directamente relacionados con las funciones legítimas del
cedente y del cesionario; el segundo, el consentimiento previo del interesado.
Sin embargo, existen una serie de
supuestos regulados en la LOPD en relación con los cuales no es necesario el
segundo de los requisitos. En estos casos, la cesión de datos personales tiene
lugar sin el consentimiento previo del afectado o interesado. Dichos supuestos
se encuentran en el artículo 11.2 de la LOPD.
En las inspecciones realizadas en el
marco del "Plan de Inspección de
Servicios Sociales 2007" se comprobó
que los organismos inspeccionados ceden datos personales de conformidad con las
excepciones reguladas en el artículo 11.2 de la LOPD.
El citado artículo establece como
primera excepción a la regla general del consentimiento para la cesión de datos
personales del usuario, que la cesión esté autorizada por una Ley.
Debe tratarse de una norma con rango de
Ley, no siendo posible que la cesión de datos personales se ampare en una norma
de carácter reglamentario.
En el caso de los Centros de Servicios
Sociales de la Administración de la Comunidad de Madrid y los Centros de
Servicios Sociales de los Entes Locales de la Comunidad de Madrid, se ha
comprobado en las inspecciones realizadas en el marco de ejecución del "Plan de Inspección de Servicios Sociales 2007" las siguientes cesiones de datos personales
amparadas en una norma con rango de Ley:
1. Artículo 6.2
de la Ley 1/2007, de 21 de febrero, de Mediación Familiar de la Comunidad de
Madrid: Podrán inscribirse en el Registro de Mediadores Familiares de la
Comunidad de Madrid quienes cumplan con los requisitos previstos en dicha Ley.
Los colegios profesionales podrán colaborar en la gestión del Registro de
Mediadores Familiares dependiente de la Dirección General competente en materia
de familia mediante la creación de registros auxiliares. En este caso, los
profesionales colegiados podrán acceder al Registro a través de su colegio
profesional de procedencia, quien comunicará, a la Dirección competente en
materia de familia, las altas, bajas y modificaciones registrales en la forma
que se establezca reglamentariamente.
2. Artículo 22.3
de la Ley 11/2002, de 18 de diciembre, de Ordenación de la Actividad de los
Centros y Servicios de Acción Social y de Mejora de la Calidad en la Prestación
de los Servicios Sociales de la Comunidad de Madrid: Las Entidades titulares,
sus representantes legales y el personal que se encuentre como responsable de
los Centros y Servicios estarán obligados a facilitar a la inspección el acceso
a las instalaciones y el examen de los documentos, libros y datos estadísticos
que sean preceptivos, así como a suministrar toda la información necesaria para
conocer el cumplimiento de las exigencias determinadas en la normativa vigente
en materia de Servicios Sociales.
3. Artículo 16.3
de la Ley 18/1999, de 29 de abril, Reguladora de los Consejos de Atención a la
Infancia y a la Adolescencia: En aquellos casos de menores en los que se valore
la conveniencia de adoptar medidas urgentes como consecuencia de que se puedan
encontrar en una situación de riesgo grave, los servicios que puedan tener
conocimiento de dicha situación lo notificarán a la Entidad Pública con
competencia en protección de menores y, en su caso, además, al Juzgado que
corresponda.
4. Disposición
adicional octava de la Ley 40/2003, de 18 de noviembre, de Protección a las
Familias Numerosas: Se entenderá que la solicitud de condición de familia
numerosa conlleva el consentimiento para la cesión de datos de carácter
personal necesarios para la comprobación de ingresos económicos de la unidad
familiar por parte del órgano gestor.
5. Artículo 20.2
de la Ley 5/1996, de 8 de julio, de Defensor del Menor de la Comunidad de
Madrid: En la fase de comprobación e investigación de una queja, o de un
expediente iniciado de oficio, el Defensor del Menor, o la persona en quien él
delegue, podrán personarse en cualquier dependencia pública o privada,
concernida por la comprobación o investigación, para verificar cuantos datos
fueran menester, hasta hacer las entrevistas personales pertinentes, o proceder
al estudio de los expedientes y documentación necesaria. A estos efectos, no
podrá negársele el acceso a ningún expediente o documentación que esté
relacionado con la actividad o servicio objeto de la investigación. ()
6. Artículo 52
de la Ley 6/1995, de 28 de marzo, de Garantías de los Derechos de la Infancia y
la Adolescencia: Cuando un Centro prestador de Servicios Sociales tenga
conocimiento de que un menor se encuentra en situación de desamparo, se
iniciará por el órgano competente de la Administración Autonómica el oportuno
expediente, habilitándose expresamente la competencia para poder solicitar
informes de cuantas personas u organismos puedan facilitar datos relevantes
para el conocimiento y la valoración de la situación socio-familiar del menor,
sin necesidad de obtener el consentimiento previo del interesado.
12.2. Otra de las manifestaciones de las cesiones de datos
amparadas en una Ley es el supuesto de que la cesión tenga como destinatario a
los responsables de carácter político, ya sea a los concejales de los
municipios, ya sea a los parlamentarios de la Asamblea de la Comunidad de
Madrid.
Respecto a la cesión a los concejales,
podrán acceder a los datos solicitados, sin previo consentimiento de los
usuarios, cuando dicho acceso sea necesario para el desarrollo de sus
competencias municipales o el ejercicio de sus funciones de control de la
Corporación, en los términos previstos en la Ley 7/1985, de 2 de abril, de
Bases de Régimen Local. Es imprescindible que en la petición de información
efectuada por el concejal, cuando se refiera a datos de carácter personal, se
determine la finalidad a la que se van a destinar los datos solicitados.
Asimismo, se deberá informar al concejal solicitante que no podrá usar los
datos personales para una finalidad distinta que la que ha motivado su petición
y que debe guardar secreto respecto a los datos personales objeto de la
recepción.
Respecto a la cesión de datos
personales a los diputados de la Asamblea de Madrid, la misma se encuentra
amparada por el artículo 18 del Reglamento, de 30 de enero de 1997, de la
Asamblea Legislativa de la Comunidad de Madrid.
Esta cesión de datos personales a un
diputado de la Asamblea de Madrid está amparada por la Ley y, siempre que su
finalidad sea el control de la acción del Gobierno de la Comunidad de Madrid,
tendría amparo legal.
Si bien, como se ha citado
anteriormente, son cesiones amparadas en la Ley, en las inspecciones llevadas a
cabo se ha verificado que ninguno de los organismos inspeccionados había cedido
datos personales en estos dos supuestos.
12.3. Otro supuesto específico de cesión de datos personales
es aquel en que la comunicación tiene como destinataria a la Intervención de la
Comunidad de Madrid o a la Intervención del Ente Local correspondiente.
En el primero de los casos, la cesión
está amparada por los artículos 82 y 83.3.c) de la Ley 9/1990, de 8 de
noviembre, de Hacienda de la Comunidad de Madrid.
En el segundo de los supuestos, la
habilitación legal viene dada por el artículo 133.h) de la Ley 7/1985, de 2 de
abril, Reguladora de las Bases del Régimen Local, y por los artículos 194 a 203
de la Ley 39/1988, de 28 de diciembre, Reguladora de las Haciendas Locales.
Se ha comprobado en las inspecciones
realizadas que ambas cesiones de datos personales tienen lugar, con carácter
general, para comprobar la legalidad financiera en aquellos casos en que los
usuarios de los Servicios Sociales reciben algún tipo de prestación económica
por parte de los diferentes Centros de Servicios Sociales.
12.4. El resto de supuestos contemplados en el artículo 11.2
de la LOPD que habilitan la cesión de datos personales de los usuarios de los
Servicios Sociales de la Comunidad de Madrid y de los Servicios Sociales de los
Entes Locales de la Comunidad de Madrid sin consentimiento de su titular son
los siguientes:
a) Cuando se traten datos recogidos
de fuentes accesibles al público.
b) Cuando el
tratamiento responda a la libre y legítima aceptación de una relación jurídica
cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de
dicho tratamiento con ficheros de terceros, siempre que se limite a la
finalidad que la justifique.
Del mismo modo que no es necesario el
consentimiento para recabar los datos de una persona si los datos se refieren a
las partes de un contrato o precontrato de una relación negocial, laboral o
administrativa, tampoco lo es para comunicar (ceder) los datos a un tercero,
siempre que sea preciso y necesario para el cumplimiento y control de la
relación jurídica establecida. Esta relación jurídica puede ser de carácter laboral,
administrativa, asociativa, corporativa, negocial o contractual. En el ámbito
que nos ocupa, esta relación jurídica se establece entre los usuarios y los
Centros de Servicios Sociales de la Comunidad de Madrid y los Centros de
Servicios Sociales de los Entes Locales de la Comunidad de Madrid, de manera
que en ocasiones será necesario comunicar datos a un tercero, comunicación que
se puede realizar sin el consentimiento del usuario, siempre y cuando la
finalidad de la cesión venga derivada de las competencias en materia de
servicios sociales de las Administraciones Públicas citadas.
c) Cuando la
comunicación tenga por destinatarios al Defensor del Pueblo, al Ministerio
Fiscal o a los Jueces o Tribunales o al Tribunal de Cuentas, en el ejercicio de
las funciones que tiene atribuidas o, en su caso, a Instituciones autonómicas
con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas.
En estos casos, la petición judicial
deberá ser motivada, concretando los datos personales o documentos a los cuales
se quiere acceder y que sea preciso conocer para la actuación o investigación
en curso. En ningún caso podrán cederse datos personales de forma
indiscriminada.
Así, y fruto de las inspecciones
realizadas en el "Plan de Inspección de
Servicios Sociales 2007", se puede
citar el artículo 112 de la Ley 6/1995, de 28 de marzo, de Garantías de los
Derechos de la Infancia y la Adolescencia, que contempla de forma expresa el
libre acceso del Ministerio Fiscal al Registro de Tutelas y al Registro de
Guardas, en los cuales deben encontrarse inscritos todos los menores cuya
tutela o guarda sea constituida.
d) Cuando la
cesión de datos relativos a la salud sea necesaria para solucionar una urgencia
que requiera acceder a un fichero o para realizar los estudios epidemiológicos
en los términos establecidos en la legislación sobre sanidad estatal o
autonómica.
El primero de los supuestos se
fundamenta en caso de colisión de los derechos a la vida o integridad física y
el derecho a la protección de datos, dado que prevalece el citado derecho a la
vida y a la integridad física. Respecto al segundo de los supuestos, en
ocasiones, para la prestación de Servicios Sociales se recaban datos de salud,
por lo que podría tener lugar esta cesión de datos personales sin consentimiento
del usuario, siempre que el estudio epidemiológico se realice en los términos
que establezca la legislación específica sobre sanidad.
En este sentido, la Ley 12/2001, de 21
de diciembre, de Ordenación Sanitaria de la Comunidad de Madrid, dispone que
los datos relativos a la salud serán cedidos a la Administración Sanitaria de
la Comunidad de Madrid por parte de los responsables de los ficheros,
cualquiera que sea su titularidad, cuando resulten necesarios para la
prevención de la enfermedad o la realización de estudios epidemiológicos.
Asimismo, como se ha señalado, la Ley 41/2002, de 14 de noviembre, básica
reguladora de la autonomía del paciente y de derechos y obligaciones en materia
de información y documentación clínica, exige que los datos de identificación
personal del paciente se separen de los de carácter clínico-asistencial, de
forma que quede asegurado el anonimato del paciente, salvo que haya dado su
consentimiento para no separarlos.
Al igual que en los casos anteriores,
en las inspecciones realizadas se ha comprobado que esta cesión de datos
personales tienen lugar de acuerdo con la Ley Orgánica de Protección de Datos.
e) Cuando la
cesión se produzca entre Administraciones Públicas y tenga por objeto el
tratamiento posterior de los datos con fines históricos, estadísticos o
científicos.
12.5. La regulación de las cesiones de datos personales
entre Administraciones Públicas se completa con el régimen jurídico previsto en
el artículo 21 de la LOPD. En virtud de dicho artículo, se pueden distinguir
otros dos tipos de cesiones de datos personales entre Administraciones Públicas
en las que no es necesario el consentimiento del afectado o interesado:
- Cuando la cesión de datos
personales entre las Administraciones Públicas tenga lugar para el ejercicio de
las mismas competencias o materias.
Con carácter general, y salvo que esté
expresamente contemplado en una Ley, este tipo de cesión requiere una
interpretación jurídica de la normativa aplicable. En consecuencia, se
recomienda a los Servicios Sociales de la Comunidad de Madrid y a los Servicios
Sociales de los Entes Locales de la Comunidad de Madrid que, con carácter
previo a realizar la cesión de datos personales, soliciten informe a la Agencia
de Protección de Datos de la Comunidad de Madrid, que valorará si la cesión se
ajusta o no al ordenamiento jurídico vigente.
- En el supuesto en que se trate
de datos personales que una Administración obtenga o elabore con destino a
otra.
En relación con este caso, se puede
citar, a título de ejemplo, que en la inspección realizada en el fichero "Ingreso Madrileño de Integración" de la Dirección General de Servicios
Sociales, se comprobó que, de conformidad con el artículo 18 de la Ley 15/2001,
de 27 de diciembre, de Renta Mínima de Inserción en la Comunidad de Madrid, las
solicitudes para esta ayuda económica se presentan en los Centros Municipales
de Servicios Sociales, los cuales remiten la documentación recibida a la
Consejería de Familia y Asuntos Sociales para su posterior tramitación.
12.6. La LOPD también regula en su artículo 22.2 las
cesiones a las fuerzas y cuerpos de seguridad y establece que la recogida y
tratamiento de datos de carácter personal por las fuerzas y cuerpos de
seguridad para fines policiales se realizará sin consentimiento de las personas
afectadas siempre que obedezca a dos finalidades: la prevención de un peligro
real para la seguridad pública o la represión de infracciones penales.
Tratándose de datos especialmente
protegidos, el propio artículo 22, en su apartado 3, establece que en estos
supuestos la recogida y tratamiento podrá realizarse exclusivamente en los
supuestos en que sea absolutamente necesario para los fines de una
investigación concreta, sin perjuicio del control de legalidad de la actuación
administrativa o de la obligación de resolver las pretensiones formuladas en su
caso por los interesados que correspondan a los órganos jurisdiccionales.
Esta posibilidad de recogida y
tratamiento deriva de la actividad de investigación policial reconocida a las
fuerzas y cuerpos de seguridad en la Ley Orgánica 2/1986, de 16 de marzo, sobre
Fuerzas y Cuerpos de Seguridad del Estado (artículo 11).
Dado que la LOPD, al tratarse de un
acceso a datos personales que tienen la consideración de especialmente
protegidos, establece que la actuación policial debe tener un control de
legalidad, se entiende que, en estos supuestos, la petición policial debería
venir autorizada preferentemente por el órgano judicial correspondiente y
debería motivarse, concretando los documentos de la historia social que sean
precisos conocer para la investigación, procediéndose por el Centro al envío de
una copia de los mismos o a facilitar el acceso dentro del propio Centro.
En este caso, podemos citar como
ejemplo las cesiones de datos personales relacionados con la violencia de
género del fichero "Servicios Sociales" del Ayuntamiento de Fuenlabrada a las
Fuerzas y Cuerpos de Seguridad del Estado, realizadas al amparo de lo dispuesto
en la Ley Orgánica 1/2004, de 28 de diciembre, de Medidas de Protección
Integral contra la Violencia de Género.
12.7. En el caso de la Agencia para la Tutela de Adultos,
corresponderá a esta la prestación del consentimiento para la cesión de datos
personales de los adultos sobre los cuales ejerce la tutela.
En el supuesto del Instituto Madrileño
del Menor y Familia, con carácter general, el consentimiento para la cesión de
datos personales de los menores tutelados en situación de desamparo
corresponderá a este Instituto cuando la edad de dichos menores sea inferior a
catorce años. Si fuesen mayores de dicha edad, les corresponderá a estos
prestar el consentimiento para la cesión.
No obstante lo anterior, en relación
con los mayores de catorce y menores de dieciséis años, cuando la prestación
del consentimiento para la cesión de sus datos personales se encuentre
vinculado a situaciones de riesgo social que puedan afectar a su integridad
física o al libre desarrollo de su personalidad podrá recabarse el
consentimiento del propio Instituto Madrileño del Menor y la Familia.
Artículo 13.-
Acceso a datos por cuenta de terceros en materia de Servicios Sociales
13.1. En ocasiones, los Centros o Instituciones Públicas
prestadores de Servicios Sociales contratan o acuerdan mediante convenio con
terceros la prestación de determinados servicios que requieren el tratamiento,
por parte de aquellos, de datos personales de empleados, usuarios del servicio,
residentes, familiares u otros ciudadanos. Es obligación del responsable del
fichero garantizar que los contratos firmados a estos efectos recogen las
garantías precisas sobre el tratamiento de datos de carácter personal recogido
en sus ficheros y, en particular, las referencias indicadas en el artículo 12
de la LOPD: Que el encargado del tratamiento únicamente tratará los datos
conforme a las instrucciones del responsable del tratamiento, que no los
aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los
comunicará a otras personas.
En el contrato se establecerán,
asimismo, las medidas de seguridad a las que se refiere el artículo 9 de la
LOPD, estando el encargado del tratamiento obligado a implementarlas. Terminada
la relación contractual, los datos sociales manejados se devolverán al
responsable o se destruirán, según se haya acordado.
Por otra parte, el Real Decreto
1720/2007, de 21 de diciembre, regula la posibilidad de que el encargado del
tratamiento subcontrate a su vez el servicio que ha contratado con el
responsable del fichero.
Para que esta subcontratación tenga
lugar será necesario que el encargado del tratamiento haya obtenido la
autorización del responsable del fichero. Esta subcontratación se efectuará
siempre en nombre y por cuenta del responsable del fichero.
13.2. Durante la realización del "Plan
de Inspección de Servicios Sociales 2007"
se comprobó la existencia de encargados del tratamiento cuyo contrato con el
Servicio Social correspondiente no se adecuaba a lo dispuesto en el artículo 12
de la LOPD.
También se comprobó que, en algunos
casos, los Servicios Sociales tienen contratados a trabajadores autónomos, que
a su vez, están colegiados en el Colegio de Psicólogos o en el Colegio de
Trabajadores Sociales. En este supuesto, estos trabajadores autónomos también
deben firmar un documento con el contenido citado anteriormente, ya que se les
considera encargados del tratamiento. En el "Plan
de Inspección de Servicios Sociales 2007"
se verificó que el documento firmado a tal efecto no se ajustaba con exactitud
a lo dispuesto en el artículo 12 de la LOPD.
No obstante lo anterior, también se ha
comprobado que, como buena práctica, algún organismo tiene incluidas cláusulas
referentes al artículo 12 de la LOPD en los contratos de limpieza y seguridad
de instalaciones.
En consecuencia, la Agencia de
Protección de Datos de la Comunidad de Madrid insta a los Servicios Sociales de
la Comunidad de Madrid y a los Servicios Sociales de los Entes Locales de la
Comunidad de Madrid a la utilización de cláusulas-tipo en los contratos sobre
tratamiento de datos personales para dar efectivo cumplimiento al artículo 12
de la LOPD.
13.3. Por otra parte, y de conformidad con lo dispuesto en
el artículo 9.3 de la Ley 8/2001, de 13 de julio, de Protección de Datos de
Carácter Personal en la Comunidad de Madrid, el responsable de la
contratación del Servicio Social correspondiente deberá comunicar a la Agencia
de Protección de Datos de la Comunidad de Madrid cualquier contrato que celebre
y que suponga el tratamiento de datos de carácter personal por parte de un
tercero, con anterioridad a su perfeccionamiento.
Artículo 14.-
Derechos de acceso, rectificación, cancelación y oposición
14.1. Estos derechos asisten al ciudadano en el tratamiento
de sus datos personales, debiendo ser facilitado su ejercicio por los Servicios
Sociales de la Comunidad de Madrid y los Servicios Sociales de los Entes
Locales de la Comunidad de Madrid, cumpliendo con las formas y plazos
establecidos por la LOPD y no obstaculizando en forma alguna su ejercicio,
debiéndose motivar jurídicamente, en su caso, la denegación del ejercicio de
alguno de estos derechos.
En este sentido, la mayoría de los
organismos inspeccionados durante la realización del "Plan
de Inspección de Servicios Sociales 2007"
no tienen a disposición de los usuarios ningún modelo para el ejercicio de
estos derechos por parte de los usuarios de los Servicios Sociales.
En consecuencia, y para facilitar el
ejercicio de los derechos de acceso, rectificación, cancelación y oposición,
los Servicios Sociales deberán poner a disposición de los usuarios algún modelo
que permita el ejercicio de estos derechos. En este sentido, y respecto a los
organismos inspeccionados, la Agencia de Protección de Datos de la Comunidad de
Madrid ha facilitado modelos para ejercitar los citados derechos.
14.2. Contra la denegación o no satisfacción en el ejercicio
de estos derechos, los usuarios podrán presentar ante la Agencia de Protección
de Datos de la Comunidad de Madrid la reclamación correspondiente, tramitando
la Agencia para la resolución de la misma un expediente contradictorio
denominado expediente de tutela de derechos.
La tramitación de este expediente de
tutela de derechos se ajustará a lo dispuesto en los artículos 3 a 6 del
Decreto 67/2003, de 22 de mayo, por el que se aprueba el Reglamento de desarrollo
de las funciones de la Agencia de Protección de Datos de la Comunidad de Madrid
de tutela de derechos y de control de ficheros de datos de carácter personal.
Artículo 15.-
Transferencias internacionales
15.1. Con carácter general, y de conformidad con la LOPD, en
aquellos casos en que los Servicios Sociales de la Comunidad de Madrid y los
Servicios Sociales de los Entes Locales de la Comunidad de Madrid vayan a
transferir datos personales en el ámbito de actuación de los citados Servicios
Sociales a otros países que no sean de la Unión Europea, será necesaria la
autorización del Director de la Agencia Española de Protección de Datos,
siempre que al país al que se vayan a transferir los datos personales no proporcione
un nivel de protección equiparable al de la LOPD, y sin perjuicio de que la
legislación específica exija más requisitos para proceder a la transferencia
internacional. No obstante, el artículo 34 de la LOPD recoge una serie de
excepciones a esta regla general.
En este sentido, podemos citar el
artículo 13.3 de la Ley 54/2007, de 28 de diciembre, de Adopción Internacional,
que establece que la transferencia internacional de los datos a autoridades
extranjeras de adopción únicamente se efectuará en los supuestos expresamente
previstos en la citada Ley y en el Convenio de La Haya de 29 de mayo de 1993,
relativo a la protección del niño y a la cooperación en materia de adopción
internacional.
De conformidad con las inspecciones
realizadas durante la ejecución del "Plan
de Inspección de Servicios Sociales 2007",
en el ámbito de los Servicios Sociales estas transferencias internacionales
tienen lugar, sobre todo, en materia de adopciones internacionales, en las que
existen convenios con terceros países, y en materia de tutelados extranjeros,
respecto de los que es posible intercambiar información con terceros países.
Aplicación de la Ley 11/2007, de 22 de junio, de
Acceso Electrónico de los Ciudadanos a los Servicios Públicos
Cuando los Servicios Sociales de la
Comunidad de Madrid y los Servicios Sociales de los Entes Locales de la
Comunidad de Madrid comiencen a prestar sus servicios de manera electrónica, de
acuerdo a lo regulado en la Ley 11/2007, de 22 de junio, se deberán cumplir las
referencias contenidas a la LOPD en el articulado de la misma.
Aplicación de la Ley 37/2007, de 16 de noviembre, sobre
Reutilización de la Información del Sector Público
La reutilización de documentos por
parte de los Servicios Sociales de la Comunidad de Madrid y los Servicios
Sociales de los Entes Locales de la Comunidad de Madrid que se realice en los
términos establecidos en la Ley 37/2007, de 16 de noviembre, deberá llevarse a
cabo sin que los mismos contengan datos de carácter personal, salvo que medie
consentimiento previo de los usuarios.
Aplicación de la Ley 39/2006, de 14 de diciembre, de
Promoción de la Autonomía Personal
y Atención a las personas en
situación de dependencia
La recogida y tratamiento de datos
personales de las personas en situación de dependencia deberá ajustarse a lo
dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de
Datos de Carácter Personal, y demás normativa de aplicable, todo ello sin
perjuicio, de las garantías que en materia de protección de datos regula la Ley
39/2006, de 13 de diciembre.
De los ficheros de violencia de género
El Real Decreto 1720/2007, de 21 de
diciembre, ha considerado que sobre los datos personales referentes a violencia
de género deben implantarse las medidas de seguridad de nivel alto.
Asimismo, el artículo 28 de la Ley
5/2005, de 20 de diciembre, Integral contra la Violencia de Género de la
Comunidad de Madrid, insta a los Servicios Sociales, incluyendo los específicos
que regula esa Ley, tales como los Centros de Emergencia y los Centros de
Acogida, a garantizar el derecho a la intimidad de las mujeres y de sus
familiares o personas que convivan con ellas que puedan beneficiarse de las
medidas contenidas en la citada Ley.
En consecuencia, se velará por
preservar el carácter confidencial de las causas que dan lugar a que las
interesadas se beneficien de las medidas recogidas en esa Ley, con estricto
respecto en todo caso a las disposiciones contenidas en la Ley Orgánica
15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y en
la Ley 8/2001, de 13 de julio, de Protección de Datos Personales en la
Comunidad de Madrid.
De la publicación de sanciones por la comisión de
infracciones graves y muy graves en materia de Servicios Sociales
La Ley 49/2007, de 26 de diciembre, por
la que se establece el régimen de infracciones y sanciones en materia de
igualdad de oportunidades, no discriminación y accesibilidad universal de las
personas con discapacidad, permite la publicación de las resoluciones
sancionadoras en materia de Servicios Sociales, de manera que la resolución
firme en vía administrativa de los expedientes sancionadores por faltas graves
y muy graves será hecha pública, cuando así lo acuerde la autoridad
administrativa que la haya adoptado, para lo que se recabará, con carácter
previo, el oportuno informe de la Agencia Española de Protección de Datos o la
autoridad autonómica que corresponda.
Por ello, los Servicios Sociales de la
Comunidad de Madrid y los Servicios Sociales de los Entes Locales de la
Comunidad de Madrid deberán solicitar, con carácter previo a dicha publicación,
informe de la Agencia de Protección de Datos de la Comunidad de Madrid.
DISPOSICIÓN FINAL
Esta Recomendación entrará en vigor al
día siguiente de su publicación en el Boletín Oficial de la Comunidad de Madrid.
